# 5985,5986 - Pentesting OMI {{#include ../banners/hacktricks-training.md}} ### **Grundinformationen** **OMI** wird als ein **[Open-Source](https://github.com/microsoft/omi)**-Tool von Microsoft präsentiert, das für das Remote-Konfigurationsmanagement entwickelt wurde. Es ist besonders relevant für Linux-Server auf Azure, die Dienste wie folgende nutzen: - **Azure Automation** - **Azure Automatic Update** - **Azure Operations Management Suite** - **Azure Log Analytics** - **Azure Configuration Management** - **Azure Diagnostics** Der Prozess `omiengine` wird gestartet und lauscht auf allen Schnittstellen als Root, wenn diese Dienste aktiviert sind. **Standardports**, die verwendet werden, sind **5985** (http) und **5986** (https). ### **[CVE-2021-38647 Verwundbarkeit](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647)** Wie am 16. September beobachtet, sind Linux-Server, die in Azure mit den genannten Diensten bereitgestellt werden, aufgrund einer verwundbaren Version von OMI anfällig. Diese Verwundbarkeit liegt im Umgang des OMI-Servers mit Nachrichten über den `/wsman`-Endpunkt, ohne dass ein Authentifizierungsheader erforderlich ist, was den Client fälschlicherweise autorisiert. Ein Angreifer kann dies ausnutzen, indem er eine "ExecuteShellCommand" SOAP-Nutzlast ohne einen Authentifizierungsheader sendet, wodurch der Server gezwungen wird, Befehle mit Root-Rechten auszuführen. ```xml id 0 ``` Für weitere Informationen zu diesem CVE **[check this](https://github.com/horizon3ai/CVE-2021-38647)**. ## Referenzen - [https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/](https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/) - [https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/](https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/) {{#include ../banners/hacktricks-training.md}}