5985,5986 - Pentesting OMI
Grundlegende Informationen
OMI wird von Microsoft als Open-Source-Tool präsentiert und ist für die Remote-Konfigurationsverwaltung konzipiert. Es ist besonders relevant für Linux-Server in Azure, die Dienste wie folgt nutzen:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
Der Prozess omiengine
wird gestartet und lauscht auf allen Schnittstellen als Root, wenn diese Dienste aktiviert sind.
Die verwendeten Standardports sind 5985 (http) und 5986 (https).
Wie am 16. September beobachtet, sind Linux-Server, die in Azure bereitgestellt werden und die genannten Dienste nutzen, aufgrund einer verwundbaren Version von OMI anfällig. Diese Schwachstelle liegt in der Handhabung von Nachrichten durch den OMI-Server über den /wsman
-Endpunkt, ohne dass ein Authentifizierungsheader erforderlich ist, was den Client fälschlicherweise autorisiert.
Ein Angreifer kann dies ausnutzen, indem er eine "ExecuteShellCommand" SOAP-Payload ohne Authentifizierungsheader sendet, wodurch der Server Befehle mit Root-Rechten ausführt.
Für weitere Informationen zu dieser CVE überprüfen Sie dies.
Referenzen
Last updated