5985,5986 - Pentesting OMI
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
OMI è presentato come uno strumento open-source da Microsoft, progettato per la gestione della configurazione remota. È particolarmente rilevante per i server Linux su Azure che utilizzano servizi come:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
Il processo omiengine
viene avviato e ascolta su tutte le interfacce come root quando questi servizi sono attivati.
Le porte predefinite utilizzate sono 5985 (http) e 5986 (https).
Come osservato il 16 settembre, i server Linux distribuiti in Azure con i servizi menzionati sono suscettibili a causa di una versione vulnerabile di OMI. Questa vulnerabilità risiede nella gestione dei messaggi da parte del server OMI attraverso l'endpoint /wsman
senza richiedere un'intestazione di autenticazione, autorizzando erroneamente il client.
Un attaccante può sfruttare questo inviando un payload SOAP "ExecuteShellCommand" senza un'intestazione di autenticazione, costringendo il server ad eseguire comandi con privilegi di root.
Per ulteriori informazioni su questo CVE controlla questo.
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)