5985,5986 - Pentesting OMI
Grundinformationen
OMI wird als Open-Source-Tool von Microsoft präsentiert, das für das Remote-Konfigurationsmanagement entwickelt wurde. Es ist besonders relevant für Linux-Server auf Azure, die Dienste wie folgende nutzen:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
Der Prozess omiengine
wird gestartet und lauscht auf allen Schnittstellen als Root, wenn diese Dienste aktiviert sind.
Standardports, die verwendet werden, sind 5985 (http) und 5986 (https).
Wie am 16. September beobachtet, sind Linux-Server, die in Azure mit den genannten Diensten bereitgestellt werden, aufgrund einer verwundbaren Version von OMI anfällig. Diese Verwundbarkeit liegt im Umgang des OMI-Servers mit Nachrichten über den /wsman
-Endpunkt, ohne dass ein Authentifizierungsheader erforderlich ist, was den Client fälschlicherweise autorisiert.
Ein Angreifer kann dies ausnutzen, indem er eine "ExecuteShellCommand" SOAP-Nutzlast ohne Authentifizierungsheader sendet, wodurch der Server gezwungen wird, Befehle mit Root-Rechten auszuführen.
Für weitere Informationen zu diesem CVE hier überprüfen.
Referenzen
Last updated