5985,5986 - Pentesting OMI
Βασικές Πληροφορίες
Το OMI παρουσιάζεται ως ένα εργαλείο ανοικτού κώδικα από τη Microsoft, σχεδιασμένο για την απομακρυσμένη διαχείριση ρυθμίσεων. Είναι ιδιαίτερα σημαντικό για τους διακομιστές Linux στο Azure που χρησιμοποιούν υπηρεσίες όπως:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
Η διαδικασία omiengine
εκκινείται και ακούει σε όλα τα διασυνδέσματα ως root όταν αυτές οι υπηρεσίες ενεργοποιούνται.
Τα προεπιλεγμένα θύρα που χρησιμοποιούνται είναι τα 5985 (http) και 5986 (https).
Όπως παρατηρήθηκε στις 16 Σεπτεμβρίου, οι διακομιστές Linux που έχουν αναπτυχθεί στο Azure με τις αναφερόμενες υπηρεσίες είναι ευάλωτοι λόγω μιας ευπάθειας στην έκδοση του OMI. Αυτή η ευπάθεια βρίσκεται στην επεξεργασία των μηνυμάτων του διακομιστή OMI μέσω του /wsman
endpoint χωρίς να απαιτείται ένας κεφαλίδα Πιστοποίησης, εξουσιοδοτώντας εσφαλμένα τον πελάτη.
Ένας επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό αποστέλλοντας ένα SOAP πακέτο "ExecuteShellCommand" χωρίς κεφαλίδα Πιστοποίησης, αναγκάζοντας τον διακομιστή να εκτελέσει εντολές με δικαιώματα root.
Για περισσότερες πληροφορίες σχετικά με αυτήν την CVE ελέγξτε αυτό.
Αναφορές
Last updated