5985,5986 - Pentesting OMI
Informações Básicas
OMI é apresentado como uma ferramenta de código aberto pela Microsoft, projetada para gerenciamento de configuração remota. É particularmente relevante para servidores Linux no Azure que utilizam serviços como:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
O processo omiengine
é iniciado e escuta em todas as interfaces como root quando esses serviços são ativados.
As portas padrão utilizadas são 5985 (http) e 5986 (https).
Como observado em 16 de setembro, servidores Linux implantados no Azure com os serviços mencionados são suscetíveis devido a uma versão vulnerável do OMI. Essa vulnerabilidade reside no manuseio de mensagens do servidor OMI através do endpoint /wsman
sem exigir um cabeçalho de Autenticação, autorizando incorretamente o cliente.
Um atacante pode explorar isso enviando um payload SOAP "ExecuteShellCommand" sem um cabeçalho de Autenticação, forçando o servidor a executar comandos com privilégios de root.
Para mais informações sobre este CVE verifique isso.
Referências
Last updated