5985,5986 - Pentesting OMI
Informações Básicas
OMI é apresentado como uma ferramenta open-source pela Microsoft, projetada para gerenciamento de configuração remota. É particularmente relevante para servidores Linux no Azure que utilizam serviços como:
Automação Azure
Atualização Automática Azure
Suite de Gerenciamento de Operações Azure
Log Analytics Azure
Gerenciamento de Configuração Azure
Diagnostics Azure
O processo omiengine
é iniciado e escuta em todas as interfaces como root quando esses serviços são ativados.
As portas padrão usadas são 5985 (http) e 5986 (https).
Como observado em 16 de setembro, servidores Linux implantados no Azure com os serviços mencionados são suscetíveis devido a uma versão vulnerável do OMI. Essa vulnerabilidade reside no tratamento de mensagens do servidor OMI através do endpoint /wsman
sem exigir um cabeçalho de Autenticação, autorizando incorretamente o cliente.
Um atacante pode explorar isso enviando um payload SOAP "ExecuteShellCommand" sem um cabeçalho de Autenticação, forçando o servidor a executar comandos com privilégios de root.
Para obter mais informações sobre esta CVE verifique aqui.
Referências
Last updated