5985,5986 - Pentesting OMI
Osnovne informacije
OMI je predstavljen kao open-source alat od strane Microsoft-a, dizajniran za daljinsko upravljanje konfiguracijom. Posebno je relevantan za Linux servere na Azure-u koji koriste usluge kao što su:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
Proces omiengine
se pokreće i osluškuje na svim interfejsima kao root kada se ove usluge aktiviraju.
Podrazumevani portovi koji se koriste su 5985 (http) i 5986 (https).
Kako je primećeno 16. septembra, Linux serveri koji su implementirani na Azure-u sa pomenutim uslugama su podložni ranjivosti zbog ranjive verzije OMI-ja. Ova ranjivost se nalazi u obradi poruka OMI servera putem /wsman
endpointa bez zahteva za Authentication header-om, nepravilno autorizujući klijenta.
Napadač može iskoristiti ovo slanjem "ExecuteShellCommand" SOAP payload-a bez Authentication header-a, prisiljavajući server da izvrši komande sa root privilegijama.
Za više informacija o ovoj CVE proverite ovde.
Reference
Last updated