5985,5986 - Pentesting OMI
Основна інформація
OMI представлений як відкрите програмне забезпечення від Microsoft, призначене для віддаленого управління конфігурацією. Це особливо важливо для Linux-серверів на Azure, які використовують такі служби, як:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
Процес omiengine
запускається та прослуховує всі інтерфейси як root, коли ці служби активовані.
Використовуються стандартні порти 5985 (http) та 5986 (https).
Як було помічено 16 вересня, Linux-сервери, розгорнуті в Azure з вказаними службами, є вразливими через вразливу версію OMI. Ця вразливість полягає в обробці сервером OMI повідомлень через кінець /wsman
без необхідності заголовка аутентифікації, неправильно авторизуючи клієнта.
Атакувальник може використати це, надсилаючи SOAP-пакет "ExecuteShellCommand" без заголовка аутентифікації, змушуючи сервер виконувати команди з правами root.
Для отримання додаткової інформації про цей CVE перевірте це.
Посилання
Last updated