5985,5986 - Pentesting OMI
Información Básica
OMI se presenta como una herramienta de código abierto de Microsoft, diseñada para la gestión de configuraciones remotas. Es especialmente relevante para servidores Linux en Azure que utilizan servicios como:
Automatización de Azure
Actualización Automática de Azure
Suite de Gestión de Operaciones de Azure
Análisis de Log de Azure
Gestión de Configuración de Azure
Diagnostics de Azure
El proceso omiengine
se inicia y escucha en todas las interfaces como root cuando se activan estos servicios.
Los puertos predeterminados utilizados son 5985 (http) y 5986 (https).
Según se observó el 16 de septiembre, los servidores Linux implementados en Azure con los servicios mencionados son susceptibles debido a una versión vulnerable de OMI. Esta vulnerabilidad radica en el manejo de mensajes del servidor OMI a través del endpoint /wsman
sin requerir un encabezado de Autenticación, autorizando incorrectamente al cliente.
Un atacante puede explotar esto enviando un payload SOAP "ExecuteShellCommand" sin un encabezado de Autenticación, obligando al servidor a ejecutar comandos con privilegios de root.
Para obtener más información sobre esta CVE verifica aquí.
Referencias
Última actualización