The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проблемы с безопасностью серверов с IPMI. Бэкдор в системах хранения HP

31.07.2013 11:15

Компьютерная команда экстренной готовности США (US-CERT) опубликовала предупреждение о проблемах с безопасностью серверных систем, поддерживающих интерфейс IPMI (Intelligent Platform Management Interface). IPMI представляет собой доступный по сети независимый интерфейс для мониторинга и управления оборудованием, позволяющий отслеживать состояние датчиков, управлять питанием и выполнять другие операции с оборудованием.

Доступ к IPMI открывает злоумышленнику средства для низкоуровневого доступа к серверу в обход средств операционной системы. В ситуации ненадлежащей настройки IPMI большое число серверных систем, имеющих выход в глобальную Сеть с IPMI-интерфейса, оказались подвержены атаке. Получив доступ к IPMI атакующие получают возможность управлять прошивками и дисками, могут удалённо загрузить на сервере собственную ОС по сети, организовать работу консоли удалённого доступа для атаки на базовую ОС и изменения настроек BIOS.

Проблема усугубляется тем, что многие конфигурации IPMI доступны без пароля или используют пароль по умолчанию. Из проблем также отмечается хранение паролей в открытом виде, отсутствие шифрования некоторых видов трафика IPMI, а также то, что утечка одного пароля даёт доступ ко всем серверам группы IPMI. Всем администраторам оборудования, оснащённого контроллерами BMC и поддерживающего IPMI, предлагается убедиться в надлежащей настройке своих систем. Рекомендуется установить надёжный пароль, включить шифрование доступа и выполнить привязку IPMI к отдельному внутреннему (intranet) адресу, желательно выделенному в отдельный сегмент локальной сети. Из подверженных проблемам серверных систем отмечены серверы на базе контроллеров HP Integrated Lights Out (iLO), Dell DRAC и IBM Remote Supervisor Adapter.

Дополнительно можно отметить, что компания HP подтвердила утечку параметров инженерного входа, позволяющего организовать удалённый доступ для управления системами хранения HP StoreVirtual. О наличии похожего недокументированного инженерного входа исследователи безопасности также сообщают в продуктах StoreOnce, но эта информация ещё не подтверждена. Бэкдор присутствует в продуктах начиная с 2009 года и используется службой поддержки для удалённой диагностики проблем при поступлении запросов от клиентов. В обновлении прошивки, выпущенном 17 июля, добавлена возможность отключения инженерного входа.

В случае проникновения злоумышленник получает полный root-доступ к используемой на системах хранения операционной системе LeftHand, но не имеет доступа к хранимым данным. Тем не менее, атакующий может инициировать очистку массива или вывести узел хранения из состава кластера. Кроме того, имеется возможность загрузки сертификата для организации доступа к другим системам, управляемым через Systems Insight Manager.

  1. Главная ссылка к новости (https://www.us-cert.gov/ncas/a...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/37554-ipmi
Ключевые слова: ipmi, server, hp, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:36, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Кто вывешивает IPMI в глобальную сеть, сам виноват!
    У нас к примеру используется отдельная физическая сетка для мониторинга и управления.
     
     
  • 2.3, Аноним (-), 11:44, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А коммуникации защищены? А мониторите из-под Windows? А у пользователей по сколько розеток на рабочих местах (соединив 2 любые патчем, можно легко положить всю сеть)? И т.д., и т.п.
     
     
  • 3.10, sanDro (ok), 13:18, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> А у пользователей по сколько розеток на рабочих местах (соединив 2 любые патчем, можно легко положить всю сеть)?

    Storm control использовать не судьба?

     
  • 3.15, Аноним (-), 15:04, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    STP не для вас?
     
     
  • 4.39, Аноним (-), 00:39, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    stp не панацея. я как то наблюдал фееричный развал сети, хотя stp был включен. но почему то отказывался нормально работать через туеву хучу хабов, спецжелезок и кое-какого оконечного оборудования.
     
  • 2.41, Аноним (-), 04:33, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кто вывешивает IPMI в глобальную сеть, сам виноват!

    Ну да, если ты упал в открытый люк с кипятком - ты сам виноват. Что не отменяет того факта что коммунальщики, которые его открыли и не поставили загородки на время работ - пи...сы :)

     

  • 1.2, alexey (??), 11:43, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не понял в чем новость. В IPMI есть инженерный пароль?
    Кто ж, действительно, IPMI внаружу выставляет?
     
     
  • 2.4, Demo (??), 12:02, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кто ж, действительно, IPMI внаружу выставляет?

    Вопрос из серии: "Кто ж, действительно, RDP внаружу выставляет?" или "Кто ж, действительно, SSH внаружу выставляет?"

    Что же это за сервис такой, особенный, который не следует (по мнению анонимных аналитиков OpenNet-а) наружу выставлять?

     
     
  • 3.11, sanDro (ok), 13:20, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Кто ж, действительно, IPMI внаружу выставляет?
    > Вопрос из серии: "Кто ж, действительно, RDP внаружу выставляет?" или "Кто ж,
    > действительно, SSH внаружу выставляет?"
    > Что же это за сервис такой, особенный, который не следует (по мнению
    > анонимных аналитиков OpenNet-а) наружу выставлять?

    А какие проблемы с SSH-то? Запрет парольной аутентификации и нестандартный порт никто не отменял.

     
     
  • 4.12, vn971 (ok), 14:23, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смена порта -- это защита "ни о чём". Умная взламывалка без малейших усилий определит настоящий SSH. Это можно даже увидеть набрав просто 'telnet remoteServer 22' (в качестве гритера будет что-то "типа SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2".
     
     
  • 5.13, vn971 (ok), 14:25, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Впрочем, запрет входа по паролю это хороший аргумент.)
     
  • 5.14, sanDro (ok), 14:27, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Смена порта -- это защита "ни о чём". Умная взламывалка без малейших
    > усилий определит настоящий SSH. Это можно даже увидеть набрав просто 'telnet
    > remoteServer 22' (в качестве гритера будет что-то "типа SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2".

    Это срезает тупые сканы, которых подавляющее большинство в инете. Защитой является ассиметрика при аутентификации.

     
     
  • 6.45, Аноним (-), 04:42, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > ассиметрика при аутентификации.

    И вместо рака будет грыжа. В смысле, каждый уважающий себя автоматический троянец ключи от ssh первым делом прет и раскидывает себя везде где у чудака быд доступ.

     
     
  • 7.48, sanDro (ok), 10:12, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> ассиметрика при аутентификации.
    > И вместо рака будет грыжа. В смысле, каждый уважающий себя автоматический троянец
    > ключи от ssh первым делом прет и раскидывает себя везде где
    > у чудака быд доступ.

    Сколько лет работаю, ни разу троянцев не было. Чё я делаю не так? Может я не той осью пользуюсь для работы? Да и веду себя похоже не удобным для троянцев образом.

     
  • 4.33, t28 (?), 22:10, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Что же это за сервис такой, особенный, который не следует (по мнению
    >> анонимных аналитиков OpenNet-а) наружу выставлять?
    > А какие проблемы с SSH-то? Запрет парольной аутентификации и нестандартный порт никто
    > не отменял.

    Ну так об этом и речь. Перечитай исходное предложение ещё раз.

     
  • 4.42, Аноним (-), 04:34, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Запрет парольной аутентификации

    Правильно! Троянам намного удобнее ключи автоматически пи...ть :).

     
  • 3.20, littlesavage (ok), 16:36, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    IPMI - это обычно отдельный порт на сервере, который втыкается во внутреннюю упраляющую, сеть, либо отдельный влан.

    учитывая, что через IPMI действительно можно обновить прошивку, переустановить ос, и т.п., да и вообще качество его реализации у HP, надо быть идиотом чтобы додуматься его к внешней сети подключить.

     
     
  • 4.21, Michael Shigorin (ok), 16:37, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > IPMI - это обычно отдельный порт на сервере

    Нередко shared, причём на IPMI 1.5 такое любило ещё и чужие пакеты сожрать (на 2.0 вроде не наблюдалось).  Вообще ipmitool lan print [n] полезно поразглядывать.

     
     
  • 5.27, Аноним (27), 18:51, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это (ipmi c shared) вообще использовать нельзя, то вланы не работают, то с jumbo-фреймами проблемы, то лапы ломит, то хвост отваливается.
    Только выделенный порт для IPMI или нахрен такое железо.
     
  • 5.53, Zulu (?), 17:20, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    О да!
    Как IPMI 1.5 на shared-порту меня радовал блт.
     
  • 4.34, t28 (?), 22:14, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > учитывая, что через IPMI действительно можно обновить прошивку, переустановить
    > ос, и т.п.,
    > да и вообще качество его реализации у HP, надо быть идиoтом
    > чтобы додуматься его к внешней сети подключить.

    Может в консерватории чего подправить и не делать таких однозначных, далеко идущих выводов? А то вы тут огульно людей идиoтами обзываете.

     

  • 1.5, e.slezhuk (?), 12:06, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Не понял. Они там уязвимость обнаружили, или пришли к выводу что существуют люди вывешивающие IPMI в паблик с дефолтовым паролем?
     
     
  • 2.16, Аноним (-), 15:15, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Наверное, АНБ немного о...ело когда какие-нибудь китайцы взломали их через бэкдор-интерфейс, который парни из интеля по идее оставляли для своих, любимых :).
     
  • 2.19, Michael Shigorin (ok), 15:57, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не понял. Они там уязвимость обнаружили, или пришли к выводу что существуют
    > люди вывешивающие IPMI в паблик с дефолтовым паролем?

    Судя по новости, второе.

     
  • 2.40, Johny (?), 02:36, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    а вам не приходит в голову что бывают люди, арендующие в датацентре ОДНО место под ОДИН сервер.  И что по вашему им делать с iLO ? Арендовать второй юнит под vpn/файрволл под iLO? Или сознательно отключить себе аварийную возможность спасения системы над которой будет утрачен контроль?
     
     
  • 3.51, Michael Shigorin (ok), 16:34, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > а вам не приходит в голову что бывают люди, арендующие в датацентре
    > ОДНО место под ОДИН сервер.  И что по вашему им делать с iLO ?

    Подсказка/просьба к ДЦшникам: серая сетка, vlan по запросу или сразу статический per client, возможность зайти на узел доступа по ssh либо заказать себе проброс портов для доступа к iKVM.  Тем, у кого не столько серверов, чтоб держать свой свич/маршрутизатор, может быть очень толкабельно.

    Ну и про кончину батареек сигналить куда-нить бы, в идеале совместимым с nut образом...

     

  • 1.6, Аноним (-), 12:23, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP.
     
     
  • 2.7, imprtat (ok), 12:36, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP.

    Пробовал читать сообщение перед отправкой?

     
  • 2.8, Аноним (-), 12:42, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А почему не написали что интерфейс такой не функциональный что там даже
    > простых функций безопасности например блокировка по IP.

    Админы локалхоста такие админы. Ты его в глазки-то видел?

     
  • 2.23, Аноним (-), 17:31, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP.

    ты хотя бы одну запятую поставил, хоть где-нибудь, умнее казался.

     

  • 1.9, ОЛОЛО (?), 13:03, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Одна мжвячная госконтора использует IPMI на активХЭ с белыми адресами. Когда я с ними работал, то использовал для доступа виртуальную машину с вантузом и ыксплорером. БЛДЖАДЪ!!!11
     
     
  • 2.17, Аноним (-), 15:16, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > и ыксплорером. БЛДЖАДЪ!!!11

    ipmi можно и из линуха рулить, софт для этого есть вроде как. Что не отменяет того факта что он сам по себе - бэкдор. Для удобства админов. Ну и хакеров, АНБ и прочая.

     
  • 2.35, t28 (?), 22:17, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Одна мжвячная госконтора использует IPMI на активХЭ с белыми адресами.

    Ну использует. И что?

     

  • 1.18, Вонни (?), 15:20, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тема должна называться, "Эксперты выявили в продукатах HP заплатки для АНБ"
     
     
  • 2.26, commiethebeastie (ok), 18:26, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    HP извинилась перед АНБ за доставленные неудобства.
     

  • 1.22, arisu (ok), 16:49, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > недёжный пароль

    я такого и не выдумаю…

     
     
  • 2.24, Аноним (-), 17:50, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    uuidgen
     
     
  • 3.25, arisu (ok), 18:24, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > uuidgen

    а он точно «недёжные» пароли генерировать умеет?

     
     
  • 4.31, Аноним (-), 21:08, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    так надо самому добавить или поменять пару символов, всяко лучше чем то что обычно придумывают.
     
     
  • 5.36, arisu (ok), 22:37, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > так надо самому добавить или поменять пару символов, всяко лучше чем то
    > что обычно придумывают.

    но я всё-таки хочу знать, что такое «недёжный».

     
     
  • 6.46, fhfys (?), 05:45, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > но я всё-таки хочу знать, что такое «недёжный».

    Cerfyf[eq,kznm
    Vjqyfxfkmybrblbjn
    Flvbykjrfk[jcnf
    Dct.pthsrjpks


     
     
  • 7.49, Аноним (-), 13:54, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ты читать умеешь? нЕдёжный
                       ^
     

  • 1.30, Аноним (-), 20:27, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если пишите новость про бэкдор, то пишите как им пользоваться
     
     
  • 2.38, quux (??), 23:14, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    man ipmitool
     

  • 1.32, Михрютка (ok), 21:44, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В ситуации ненадлежащей настройки IPMI, большое
    > число серверных систем, имеющих выход в глобальную Сеть, оказались подвержены атаке.

    кстати да. я одного такого знаю.

    троекратно предупредил, но он упорствовал.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру