5985,5986 - Pentesting OMI
基本情報
OMIは、Microsoftによって開発された**オープンソース**ツールで、リモート構成管理を目的としています。特に、以下のサービスを利用するAzure上のLinuxサーバーにとって重要です:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
これらのサービスがアクティブ化されると、プロセスomiengine
が開始され、すべてのインターフェースでrootとしてリッスンします。
使用されるデフォルトポートは5985(http)および5986(https)です。
2021年9月16日に観察されたように、Azureに展開されたLinuxサーバーは、言及されたサービスにより脆弱なOMIのバージョンによって影響を受けます。この脆弱性は、認証ヘッダーを必要とせずに/wsman
エンドポイントを介してメッセージを処理するOMIサーバーの中にあり、クライアントを誤って認証します。
攻撃者は、認証ヘッダーなしで"ExecuteShellCommand" SOAPペイロードを送信することで、サーバーにroot権限でコマンドを実行させることができます。
参考
Last updated