5985,5986 - Pentesting OMI
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
OMI wird als Open-Source-Tool von Microsoft präsentiert, das für das Remote-Konfigurationsmanagement entwickelt wurde. Es ist besonders relevant für Linux-Server auf Azure, die Dienste wie:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
nutzen.
Der Prozess omiengine
wird gestartet und lauscht auf allen Schnittstellen als Root, wenn diese Dienste aktiviert sind.
Standardports, die verwendet werden, sind 5985 (http) und 5986 (https).
Wie am 16. September beobachtet, sind Linux-Server, die in Azure mit den genannten Diensten bereitgestellt werden, aufgrund einer verwundbaren Version von OMI anfällig. Diese Verwundbarkeit liegt im Umgang des OMI-Servers mit Nachrichten über den /wsman
-Endpunkt, ohne dass ein Authentifizierungsheader erforderlich ist, was zu einer falschen Autorisierung des Clients führt.
Ein Angreifer kann dies ausnutzen, indem er eine "ExecuteShellCommand" SOAP-Nutzlast ohne Authentifizierungsheader sendet, wodurch der Server gezwungen wird, Befehle mit Root-Rechten auszuführen.
Für weitere Informationen zu diesem CVE hier überprüfen.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)