5985,5986 - Pentesting OMI
Basiese Inligting
OMI word aangebied as 'n open-source-instrument deur Microsoft, ontwerp vir afstandsbeheer van konfigurasie. Dit is veral relevant vir Linux-bedieners op Azure wat dienste soos gebruik:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
Die proses omiengine
word geïnisieer en luister op alle koppelvlakke as root wanneer hierdie dienste geaktiveer word.
Verstekpoorte wat gebruik word, is 5985 (http) en 5986 (https).
Soos waargeneem op 16 September, is Linux-bedieners wat in Azure geïmplementeer is met die genoemde dienste vatbaar as gevolg van 'n kwesbare weergawe van OMI. Hierdie kwesbaarheid lê in die OMI-bediener se hantering van boodskappe deur die /wsman
eindpunt sonder 'n Verifikasie-heer, wat die kliënt verkeerd magtig.
'n Aanvaller kan dit uitbuit deur 'n "ExecuteShellCommand" SOAP-lading sonder 'n Verifikasie-heer te stuur, wat die bediener dwing om opdragte met root-voorregte uit te voer.
Vir meer inligting oor hierdie CVE kyk hier.
Verwysings
Last updated