5985,5986 - Pentesting OMI
Temel Bilgiler
OMI, Microsoft tarafından sunulan bir açık kaynak aracıdır ve uzaktan yapılandırma yönetimi için tasarlanmıştır. Özellikle Azure'da Linux sunucular için önemlidir ve şu hizmetleri kullanır:
Azure Automation
Azure Otomatik Güncelleme
Azure Operasyon Yönetimi Suite'i
Azure Günlük Analitiği
Azure Yapılandırma Yönetimi
Azure Teşhisleri
Bu hizmetler etkinleştirildiğinde, omiengine
işlemi başlatılır ve tüm arayüzlerde root olarak dinler.
Kullanılan varsayılan portlar 5985 (http) ve 5986 (https)'dır.
16 Eylül'de gözlemlendiği gibi, Azure'da bu hizmetleri kullanan Linux sunucuları, zafiyete sahip bir OMI sürümü nedeniyle savunmasızdır. Bu zafiyet, OMI sunucusunun /wsman
uç noktası üzerinden kimlik doğrulama başlığı gerektirmeden mesajları işlemesinde yatmaktadır ve istemciyi yanlış bir şekilde yetkilendirir.
Bir saldırgan, kimlik doğrulama başlığı olmadan "ExecuteShellCommand" SOAP yükünü göndererek sunucunun root ayrıcalıklarıyla komutları çalıştırmasını sağlayabilir.
Bu CVE hakkında daha fazla bilgi için buraya bakın.
Referanslar
Last updated