5985,5986 - Pentesting OMI
Podstawowe informacje
OMI jest prezentowane jako narzędzie open-source stworzone przez Microsoft, przeznaczone do zdalnego zarządzania konfiguracją. Jest szczególnie istotne dla serwerów Linux w chmurze Azure, które korzystają z usług takich jak:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
Proces omiengine
jest uruchamiany i nasłuchuje na wszystkich interfejsach jako root, gdy te usługi są aktywowane.
Domyślne porty używane to 5985 (http) i 5986 (https).
Jak zaobserwowano 16 września, serwery Linux w chmurze Azure z wymienionymi usługami są podatne ze względu na podatną wersję OMI. Podatność ta polega na nieprawidłowym autoryzowaniu klienta przez serwer OMI przy obsłudze wiadomości przez punkt końcowy /wsman
bez wymagania nagłówka uwierzytelniającego.
Atakujący może wykorzystać to, wysyłając ładunek SOAP "ExecuteShellCommand" bez nagłówka uwierzytelniającego, zmuszając serwer do wykonywania poleceń z uprawnieniami roota.
Aby uzyskać więcej informacji na temat tej CVE sprawdź to.
Odwołania
Last updated