5985,5986 - Pentesting OMI
मूलभूत जानकारी
OMI को माइक्रोसॉफ्ट द्वारा ओपन-सोर्स उपकरण के रूप में प्रस्तुत किया गया है, जो रिमोट कॉन्फ़िगरेशन प्रबंधन के लिए डिज़ाइन किया गया है। यह खासकर उन लिनक्स सर्वरों के लिए महत्वपूर्ण है जो एज़्यूर पर होते हैं और जो सेवाएं उपयोग करते हैं जैसे:
एज़्यूर ऑटोमेशन
एज़्यूर ऑटोमेटिक अपडेट
एज़्यूर ऑपरेशन्स मैनेजमेंट स्यूट
एज़्यूर लॉग विश्लेषण
एज़्यूर कॉन्फ़िगरेशन मैनेजमेंट
एज़्यूर डायाग्नोस्टिक्स
जब ये सेवाएं सक्रिय होती हैं, तो प्रक्रिया omiengine
प्रारंभ होती है और जब सभी इंटरफेस पर सुनवाई करती है।
डिफ़ॉल्ट पोर्ट का उपयोग किया जाता है 5985 (http) और 5986 (https).
16 सितंबर को देखा गया कि एज़्यूर में डिप्लॉय किए गए लिनक्स सर्वर जिनमें उल्लिखित सेवाएं हैं, OMI के एक वंशानुक्रम संस्करण के कारण संक्रमित हो सकते हैं। यह सुरक्षा दोष OMI सर्वर के /wsman
एंडपॉइंट के माध्यम से संदेशों का हैंडलिंग करने में है, जिसमें एक प्रमाणीकरण हेडर की आवश्यकता नहीं होती, ग्राहक को गलत रूप से अधिकृत करते हैं।
हमलावर इसे एक "ExecuteShellCommand" SOAP पेलोड भेजकर इसका शोषण कर सकता है बिना किसी प्रमाणीकरण हेडर के, सर्वर को जड़ प्रिविलेज के साथ कमांड निष्पादित करने के लिए।
संदर्भ
Last updated