Проблемы с безопасностью серверов с IPMI. Бэкдор в системах хранения HP

31.07.2013 11:15

Компьютерная команда экстренной готовности США (US-CERT) опубликовала предупреждение о проблемах с безопасностью серверных систем, поддерживающих интерфейс IPMI (Intelligent Platform Management Interface). IPMI представляет собой доступный по сети независимый интерфейс для мониторинга и управления оборудованием, позволяющий отслеживать состояние датчиков, управлять питанием и выполнять другие операции с оборудованием.

Доступ к IPMI открывает злоумышленнику средства для низкоуровневого доступа к серверу в обход средств операционной системы. В ситуации ненадлежащей настройки IPMI большое число серверных систем, имеющих выход в глобальную Сеть с IPMI-интерфейса, оказались подвержены атаке. Получив доступ к IPMI атакующие получают возможность управлять прошивками и дисками, могут удалённо загрузить на сервере собственную ОС по сети, организовать работу консоли удалённого доступа для атаки на базовую ОС и изменения настроек BIOS.

Проблема усугубляется тем, что многие конфигурации IPMI доступны без пароля или используют пароль по умолчанию. Из проблем также отмечается хранение паролей в открытом виде, отсутствие шифрования некоторых видов трафика IPMI, а также то, что утечка одного пароля даёт доступ ко всем серверам группы IPMI. Всем администраторам оборудования, оснащённого контроллерами BMC и поддерживающего IPMI, предлагается убедиться в надлежащей настройке своих систем. Рекомендуется установить надёжный пароль, включить шифрование доступа и выполнить привязку IPMI к отдельному внутреннему (intranet) адресу, желательно выделенному в отдельный сегмент локальной сети. Из подверженных проблемам серверных систем отмечены серверы на базе контроллеров HP Integrated Lights Out (iLO), Dell DRAC и IBM Remote Supervisor Adapter.

Дополнительно можно отметить, что компания HP подтвердила утечку параметров инженерного входа, позволяющего организовать удалённый доступ для управления системами хранения HP StoreVirtual. О наличии похожего недокументированного инженерного входа исследователи безопасности также сообщают в продуктах StoreOnce, но эта информация ещё не подтверждена. Бэкдор присутствует в продуктах начиная с 2009 года и используется службой поддержки для удалённой диагностики проблем при поступлении запросов от клиентов. В обновлении прошивки, выпущенном 17 июля, добавлена возможность отключения инженерного входа.

В случае проникновения злоумышленник получает полный root-доступ к используемой на системах хранения операционной системе LeftHand, но не имеет доступа к хранимым данным. Тем не менее, атакующий может инициировать очистку массива или вывести узел хранения из состава кластера. Кроме того, имеется возможность загрузки сертификата для организации доступа к другим системам, управляемым через Systems Insight Manager.

исправить +6 +/–

Главная ссылка к новости (https://www.us-cert.gov/ncas/a...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/37554-ipmi

Ключевые слова: ipmi, server, hp, backdoor

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (45)

1.1, Аноним (-), 11:36, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Кто вывешивает IPMI в глобальную сеть, сам виноват! У нас к примеру используется отдельная физическая сетка для мониторинга и управления.

2.3, Аноним (-), 11:44, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
А коммуникации защищены? А мониторите из-под Windows? А у пользователей по сколько розеток на рабочих местах (соединив 2 любые патчем, можно легко положить всю сеть)? И т.д., и т.п.

3.10, sanDro (ok), 13:18, 31/07/2013 [^] [^^] [^^^] [ответить]	+1 +/–
>> А у пользователей по сколько розеток на рабочих местах (соединив 2 любые патчем, можно легко положить всю сеть)? Storm control использовать не судьба?

3.15, Аноним (-), 15:04, 31/07/2013 [^] [^^] [^^^] [ответить]	+1 +/–
STP не для вас?

4.39, Аноним (-), 00:39, 01/08/2013 [^] [^^] [^^^] [ответить]	+/–
stp не панацея. я как то наблюдал фееричный развал сети, хотя stp был включен. но почему то отказывался нормально работать через туеву хучу хабов, спецжелезок и кое-какого оконечного оборудования.

2.41, Аноним (-), 04:33, 01/08/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> Кто вывешивает IPMI в глобальную сеть, сам виноват! Ну да, если ты упал в открытый люк с кипятком - ты сам виноват. Что не отменяет того факта что коммунальщики, которые его открыли и не поставили загородки на время работ - пи...сы :)

1.2, alexey (??), 11:43, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Не понял в чем новость. В IPMI есть инженерный пароль? Кто ж, действительно, IPMI внаружу выставляет?

2.4, Demo (??), 12:02, 31/07/2013 [^] [^^] [^^^] [ответить]

–1 +/–

> Кто ж, действительно, IPMI внаружу выставляет?

Вопрос из серии: "Кто ж, действительно, RDP внаружу выставляет?" или "Кто ж, действительно, SSH внаружу выставляет?"

Что же это за сервис такой, особенный, который не следует (по мнению анонимных аналитиков OpenNet-а) наружу выставлять?

3.11, sanDro (ok), 13:20, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
>> Кто ж, действительно, IPMI внаружу выставляет? > Вопрос из серии: "Кто ж, действительно, RDP внаружу выставляет?" или "Кто ж, > действительно, SSH внаружу выставляет?" > Что же это за сервис такой, особенный, который не следует (по мнению > анонимных аналитиков OpenNet-а) наружу выставлять? А какие проблемы с SSH-то? Запрет парольной аутентификации и нестандартный порт никто не отменял.

4.12, vn971 (ok), 14:23, 31/07/2013 [^] [^^] [^^^] [ответить]	+1 +/–
Смена порта -- это защита "ни о чём". Умная взламывалка без малейших усилий определит настоящий SSH. Это можно даже увидеть набрав просто 'telnet remoteServer 22' (в качестве гритера будет что-то "типа SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2".

5.13, vn971 (ok), 14:25, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
Впрочем, запрет входа по паролю это хороший аргумент.)

5.14, sanDro (ok), 14:27, 31/07/2013 [^] [^^] [^^^] [ответить]

+1 +/–

> Смена порта -- это защита "ни о чём". Умная взламывалка без малейших
> усилий определит настоящий SSH. Это можно даже увидеть набрав просто 'telnet
> remoteServer 22' (в качестве гритера будет что-то "типа SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2".

Это срезает тупые сканы, которых подавляющее большинство в инете. Защитой является ассиметрика при аутентификации.

6.45, Аноним (-), 04:42, 01/08/2013 [^] [^^] [^^^] [ответить]

+/–

> ассиметрика при аутентификации.

И вместо рака будет грыжа. В смысле, каждый уважающий себя автоматический троянец ключи от ssh первым делом прет и раскидывает себя везде где у чудака быд доступ.

7.48, sanDro (ok), 10:12, 01/08/2013 [^] [^^] [^^^] [ответить]

–1 +/–

>> ассиметрика при аутентификации.
> И вместо рака будет грыжа. В смысле, каждый уважающий себя автоматический троянец
> ключи от ssh первым делом прет и раскидывает себя везде где
> у чудака быд доступ.

Сколько лет работаю, ни разу троянцев не было. Чё я делаю не так? Может я не той осью пользуюсь для работы? Да и веду себя похоже не удобным для троянцев образом.

4.33, t28 (?), 22:10, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
>> Что же это за сервис такой, особенный, который не следует (по мнению >> анонимных аналитиков OpenNet-а) наружу выставлять? > А какие проблемы с SSH-то? Запрет парольной аутентификации и нестандартный порт никто > не отменял. Ну так об этом и речь. Перечитай исходное предложение ещё раз.

4.42, Аноним (-), 04:34, 01/08/2013 [^] [^^] [^^^] [ответить]	–1 +/–
> Запрет парольной аутентификации Правильно! Троянам намного удобнее ключи автоматически пи...ть :).

3.20, littlesavage (ok), 16:36, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
IPMI - это обычно отдельный порт на сервере, который втыкается во внутреннюю упраляющую, сеть, либо отдельный влан. учитывая, что через IPMI действительно можно обновить прошивку, переустановить ос, и т.п., да и вообще качество его реализации у HP, надо быть идиотом чтобы додуматься его к внешней сети подключить.

4.21, Michael Shigorin (ok), 16:37, 31/07/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> IPMI - это обычно отдельный порт на сервере Нередко shared, причём на IPMI 1.5 такое любило ещё и чужие пакеты сожрать (на 2.0 вроде не наблюдалось). Вообще ipmitool lan print [n] полезно поразглядывать.

5.27, Аноним (27), 18:51, 31/07/2013 [^] [^^] [^^^] [ответить]	+1 +/–
Это (ipmi c shared) вообще использовать нельзя, то вланы не работают, то с jumbo-фреймами проблемы, то лапы ломит, то хвост отваливается. Только выделенный порт для IPMI или нахрен такое железо.

5.53, Zulu (?), 17:20, 01/08/2013 [^] [^^] [^^^] [ответить]	+/–
О да! Как IPMI 1.5 на shared-порту меня радовал блт.

4.34, t28 (?), 22:14, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
> учитывая, что через IPMI действительно можно обновить прошивку, переустановить > ос, и т.п., > да и вообще качество его реализации у HP, надо быть идиoтом > чтобы додуматься его к внешней сети подключить. Может в консерватории чего подправить и не делать таких однозначных, далеко идущих выводов? А то вы тут огульно людей идиoтами обзываете.

1.5, e.slezhuk (?), 12:06, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Не понял. Они там уязвимость обнаружили, или пришли к выводу что существуют люди вывешивающие IPMI в паблик с дефолтовым паролем?

2.16, Аноним (-), 15:15, 31/07/2013 [^] [^^] [^^^] [ответить]	+2 +/–
Наверное, АНБ немного о...ело когда какие-нибудь китайцы взломали их через бэкдор-интерфейс, который парни из интеля по идее оставляли для своих, любимых :).

2.19, Michael Shigorin (ok), 15:57, 31/07/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> Не понял. Они там уязвимость обнаружили, или пришли к выводу что существуют > люди вывешивающие IPMI в паблик с дефолтовым паролем? Судя по новости, второе.

2.40, Johny (?), 02:36, 01/08/2013 [^] [^^] [^^^] [ответить]	+/–
а вам не приходит в голову что бывают люди, арендующие в датацентре ОДНО место под ОДИН сервер. И что по вашему им делать с iLO ? Арендовать второй юнит под vpn/файрволл под iLO? Или сознательно отключить себе аварийную возможность спасения системы над которой будет утрачен контроль?

3.51, Michael Shigorin (ok), 16:34, 01/08/2013 [^] [^^] [^^^] [ответить]

+/–

> а вам не приходит в голову что бывают люди, арендующие в датацентре
> ОДНО место под ОДИН сервер. И что по вашему им делать с iLO ?

Подсказка/просьба к ДЦшникам: серая сетка, vlan по запросу или сразу статический per client, возможность зайти на узел доступа по ssh либо заказать себе проброс портов для доступа к iKVM. Тем, у кого не столько серверов, чтоб держать свой свич/маршрутизатор, может быть очень толкабельно.

Ну и про кончину батареек сигналить куда-нить бы, в идеале совместимым с nut образом...

1.6, Аноним (-), 12:23, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP.

2.7, imprtat (ok), 12:36, 31/07/2013 [^] [^^] [^^^] [ответить]	+3 +/–
> А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP. Пробовал читать сообщение перед отправкой?

2.8, Аноним (-), 12:42, 31/07/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> А почему не написали что интерфейс такой не функциональный что там даже > простых функций безопасности например блокировка по IP. Админы локалхоста такие админы. Ты его в глазки-то видел?

2.23, Аноним (-), 17:31, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
> А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP. ты хотя бы одну запятую поставил, хоть где-нибудь, умнее казался.

1.9, ОЛОЛО (?), 13:03, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Одна мжвячная госконтора использует IPMI на активХЭ с белыми адресами. Когда я с ними работал, то использовал для доступа виртуальную машину с вантузом и ыксплорером. БЛДЖАДЪ!!!11

2.17, Аноним (-), 15:16, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
> и ыксплорером. БЛДЖАДЪ!!!11 ipmi можно и из линуха рулить, софт для этого есть вроде как. Что не отменяет того факта что он сам по себе - бэкдор. Для удобства админов. Ну и хакеров, АНБ и прочая.

2.35, t28 (?), 22:17, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
> Одна мжвячная госконтора использует IPMI на активХЭ с белыми адресами. Ну использует. И что?

1.18, Вонни (?), 15:20, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Тема должна называться, "Эксперты выявили в продукатах HP заплатки для АНБ"

2.26, commiethebeastie (ok), 18:26, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
HP извинилась перед АНБ за доставленные неудобства.

1.22, arisu (ok), 16:49, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> недёжный пароль я такого и не выдумаю…

2.24, Аноним (-), 17:50, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
uuidgen

3.25, arisu (ok), 18:24, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
> uuidgen а он точно «недёжные» пароли генерировать умеет?

4.31, Аноним (-), 21:08, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
так надо самому добавить или поменять пару символов, всяко лучше чем то что обычно придумывают.

5.36, arisu (ok), 22:37, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
> так надо самому добавить или поменять пару символов, всяко лучше чем то > что обычно придумывают. но я всё-таки хочу знать, что такое «недёжный».

6.46, fhfys (?), 05:45, 01/08/2013 [^] [^^] [^^^] [ответить]

+1 +/–

> но я всё-таки хочу знать, что такое «недёжный».

Cerfyf[eq,kznm
Vjqyfxfkmybrblbjn
Flvbykjrfk[jcnf
Dct.pthsrjpks

7.49, Аноним (-), 13:54, 01/08/2013 [^] [^^] [^^^] [ответить]	+/–
Ты читать умеешь? нЕдёжный ^

1.30, Аноним (-), 20:27, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Если пишите новость про бэкдор, то пишите как им пользоваться

2.38, quux (??), 23:14, 31/07/2013 [^] [^^] [^^^] [ответить]	+/–
man ipmitool

1.32, Михрютка (ok), 21:44, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> В ситуации ненадлежащей настройки IPMI, большое
> число серверных систем, имеющих выход в глобальную Сеть, оказались подвержены атаке.

кстати да. я одного такого знаю.

троекратно предупредил, но он упорствовал.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: