The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Семь уязвимостей в IPMI-прошивках Supermicro

07.11.2013 11:42

Разработчики проекта Metasploit раскрыли данные о семи уязвимостях в IPMI-прошивках серверных продуктов Supermicro и опубликовали прототипы эксплоитов. Проблемы остаются неисправленными, несмотря на то, что приватное уведомление об их наличии было отправлено сотрудникам Supermicro три месяца назад.

Среди уязвимостей:

  • Использование присутствующих в прошивке статически сгенерированных ключей шифрования, используемых в SSL и Dropbear SSH;
  • Наличие преднастроенного скрытого аккаунта для входа в интерфейс WSMan, который может восприниматься как бэкдор. Примечательно, что администратор при помощи штатного интерфейса не может поменять пароль для данного аккаунта;
  • Два переполнения буфера в скрипте организации входа в систему (login.cgi), позволяющие организовать выполнение кода через манипуляции со значениями полей имени и пароля пользователя;
  • Переполнение буфера в скрипте close_window.cgi, запускаемым без аутентификации. Уязвимость проявляется при передаче специально оформленного идентификатора сессии;
  • Многочисленные уязвимости в скриптах (в том числе logout.cgi, url_redirect.cgi), доступных только после прохождения аутентификации.

IPMI (Intelligent Platform Management Interface) представляет собой доступный по сети независимый интерфейс для мониторинга и управления оборудованием, позволяющий отслеживать состояние датчиков, управлять питанием и выполнять другие операции с оборудованием. Сканирование Сети выявило около 35 тысяч уязвимых систем Supermicro с доступным для внешних запросов интерфейсом IPMI.

  1. Главная ссылка к новости (http://threatpost.com/seven-ip...)
  2. OpenNews: Проблемы с безопасностью серверов с IPMI. Бэкдор в системах хранения HP
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/38362-ipmi
Ключевые слова: ipmi, supermicro
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (60) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, G.NercY.uR (?), 12:04, 07/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Ну метасплойтовцы! Это же не уязвимости, это необходимые сильным мира сего возможности!
     
     
  • 2.18, Аноним (-), 14:21, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А вот кто хочет телефон? http://www.ixbt.com/news/hard/index.shtml?17/34/46 - ваш персональный шпион и хакеры - в вашем телефоне. Теперь официально!
     
     
  • 3.27, linux must __RIP__ (?), 19:14, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    открыли америку.. в samsung и lg - такое есть уже давно.
     
     
  • 4.40, Аноним (-), 16:00, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > открыли америку.. в samsung и lg - такое есть уже давно.

    Пруф?

     

  • 1.2, Аноним (-), 12:05, 07/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    в принципе, если нормальные админы ипми держат в отдельном влане, настраивают аксесс листы правильно на маршрутизаторах, то даже и не страшно.
     
     
  • 2.14, Аноним (-), 14:14, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, слой бинта, гипс, еще слой бинта, еще гипс, и самое главное - никакого секса^W ipmi.
     

  • 1.3, Аноним (-), 12:11, 07/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >>доступным для внешних запросов интерфейсом IPMI

    Я плакал

     
     
  • 2.4, YetAnotherOnanym (ok), 12:16, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    да ещё почти в четыре раза больше, чем 9000!
     
  • 2.5, asavah (ok), 12:24, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я тоже, это ж мля додуматься надо выставить IPMI наружу с голой жопой.
    management vlan закрытый по самое немогу? - Не, не слышали.
     
     
  • 3.6, KT315 (ok), 13:03, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну если сервер в Local Area - то это не проблема.
    А что делать, если ты тут, а сервер в Германии? Разве, что каким-то образом оговаривать список IP для доступа к менеджменту средствами компании предоставляющей место в стойке.
     
     
  • 4.8, nbw (ok), 13:15, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > А что делать, если ты тут, а сервер в Германии?

    Для предоставления доступа к административным сетям когда-то придумали VPN (OpenVPN, например).

    В любом случае, к таким интерфейсам (не только IPMI, вообще админки всяческих железок) не должно быть свободного доступа из публичных сетей. Кто этого не понимает - ССЗБ.


     
     
  • 5.13, KT315 (ok), 14:12, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> А что делать, если ты тут, а сервер в Германии?
    > Для предоставления доступа к административным сетям когда-то придумали VPN (OpenVPN, например).
    > В любом случае, к таким интерфейсам (не только IPMI, вообще админки всяческих
    > железок) не должно быть свободного доступа из публичных сетей. Кто этого
    > не понимает - ССЗБ.

    И вот, уже нужно ставить еще одну железку(+money$), только с VPN, что не исключает проблемы и с ней же - бэкдоры и просто уязвимости в VPN сервере.

    Не подумайте, что я против VPN и прочих средств защиты. Просто не радостно когда из-за того, что должно быть безопасным - реализовано через жопу и приходится усложнять архитектуру.

     
     
  • 6.15, Аноним (-), 14:16, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > реализовано через жопу

    Оно не просто так реализовано. Там откровенно впихан левый административный бэкдор. AWARD_SW. Теперь товарищу майору (и хакеру Васе) больше не надо отрывать зад от стула и бежать к компьютеру. Вон там 30 000 машин - к вашим услугам...

     
  • 6.35, nbw (ok), 09:33, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И вот, уже нужно ставить еще одну железку(+money$)

    Ox-ox, какой ужас, PIII + RAID1 из двух древних сигейтов - это так дорого... Мани-мани. (Такая конфигурация 10 лет работать будет).

    > просто уязвимости в VPN сервере.

    Реально эксплуатируемые уязвимости в своевременно обновляемом OpenVPN? Не, не слышал.

    > Не подумайте, что я против VPN и прочих средств защиты. Просто не
    > радостно когда из-за того, что должно быть безопасным - реализовано через
    > жопу и приходится усложнять архитектуру.

    Ну, тут одно из двух - либо просто, либо безопасно. По-другому не бывает. Так устроен этот жестокий мир.

     
     
  • 7.41, Аноним (-), 16:01, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ox-ox, какой ужас, PIII + RAID1 из двух древних сигейтов - это
    > так дорого... Мани-мани. (Такая конфигурация 10 лет работать будет).

    Это будет дорого,
    1) Потому что место в ДЦ придется оплатить.
    2) Когда у этого хлама окончательно вспухнут кондеры на мамке - будет весело.

     
     
  • 8.51, nbw (ok), 19:47, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ok Пусть это будет виртуалка на 128 MB RAM См выше Когда на мамке незарезерв... текст свёрнут, показать
     
     
  • 9.54, XoRe (ok), 23:39, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Виртуальные кондёры you made my day ... текст свёрнут, показать
     
     
  • 10.57, nbw (ok), 15:44, 09/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Virtual host, в отличие от virtual guest а, вполне себе материален И кондёры в ... текст свёрнут, показать
     
     
  • 11.58, XoRe (ok), 23:50, 09/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А, вы про это Да, если не самосборный кустарный, то обычно резервировано... текст свёрнут, показать
     
  • 7.59, zero (??), 12:15, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ox-ox, какой ужас, PIII + RAID1 из двух древних сигейтов

    и кто же даст такой хлам поставить в ДЦ???? Где у тебя один из 10тыс. серверов в стойке?

     
     
  • 8.60, nbw (ok), 16:23, 24/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Привет, некропостер Ну поставь 1U-железку с вэпээном, если третьепень с сигейта... текст свёрнут, показать
     
  • 4.31, YetAnotherOnanym (ok), 23:19, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А что делать, если ты тут, а сервер в Германии?

    <trollmode>Не держать свои сервера в Германии</trollmode>
    Выбирать нормального хостера, который даёт VPN до IPMI-интерфейса.

     
     
  • 5.42, Аноним (-), 16:03, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > <trollmode>Не держать свои сервера в Германии</trollmode>

    В Германии сервера по крайней мере не изымают по звонку товарищ-майоров, знаете ли. А также вменяемые цены и хорошее конективити в мир, не проходящее через бельевые веревки ростелекома и тому подобных.

    > Выбирать нормального хостера, который даёт VPN до IPMI-интерфейса.

    И надеяться что это не разломают.

     
     
  • 6.52, nbw (ok), 19:52, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > В Германии сервера по крайней мере не изымают по звонку товарищ-майоров, знаете
    > ли.

    Некто Эдик Сноуден весело смеётся над твоей наивностью, и спецслужбы ФРГ ему подхихикивают.

    >> Выбирать нормального хостера, который даёт VPN до IPMI-интерфейса.
    > И надеяться что это не разломают.

    Примеры взломов OpenVPN ф студию.


     
  • 2.49, кцу (?), 16:53, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Dedicated-хостинги. Например - timeweb. У них ipmi торчит наружу для всех.
     

  • 1.7, commiethebeastie (ok), 13:10, 07/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Coreboot не нужен, мы предпочитаем надежные энтерпрайзные решения.
     
     
  • 2.9, Аноним (9), 13:38, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Cкажите вы точно понимаете о чем новость ?
     
     
  • 3.10, commiethebeastie (ok), 13:42, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Точно понимаю, в coreboot пилят прошивки для ВСЕХ компонентов ПК, а не только замену биоса.
     
     
  • 4.11, Аноним (9), 13:58, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Буду очень благодарен если вы укажете мне где именно в coreboot находятся исходники прошивок для BMC.
     
     
  • 5.12, commiethebeastie (ok), 13:59, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Никому же нинужно, ынтерпрайз надежнее, вот не делают. Хотя например для тех же super i/o делают, хоть это и не сам coreboot.
     
     
  • 6.17, Аноним (-), 14:18, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > же super i/o делают, хоть это и не сам coreboot.

    Пардон? Super I/O это довольно дубовый автомат. У него нет никаких "прошивок". Бывает что управление вентиляторами и отслеживание датчиков вместо этого спихнуто на BMC, вот у этого прошивка бывает. И сабж в половине случаев он же делает. Но где его прошивка, собственно?

     
     
  • 7.20, commiethebeastie (ok), 14:51, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    http://www.coreboot.org/Embedded_controller
     
     
  • 8.21, Аноним (9), 15:07, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это не BMC ... текст свёрнут, показать
     
     
  • 9.25, Аноним (-), 18:24, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вполне себе видел мамки где один и тот же процик и по сети ремотное управление д... текст свёрнут, показать
     
     
  • 10.32, Аноним (32), 23:43, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    И что Какое это имеет отношение к данной новости ... текст свёрнут, показать
     
     
  • 11.43, Аноним (-), 16:04, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Такое что там тоже может быть бэкдор при малейшем желании интеля ... текст свёрнут, показать
     
  • 8.24, Аноним (-), 18:23, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Простите, EC он же зачастую и BMC - это таки не SuperIO SuperIO - это как пра... большой текст свёрнут, показать
     

  • 1.16, Аноним (-), 14:17, 07/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кстати да, IPMI у Supermicro не часто обновляется если вообще обновляется. Просто принцип "Работает не трогай" рано или поздно начинает давать сильную отдачу по то тому кто этот принцип применяет. Да и вообще веб интерфейс у них и так страшный так что нахождение там ошибок ни чуть не увиляет
     
     
  • 2.19, Аноним (-), 14:22, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > интерфейс у них и так страшный так что нахождение там ошибок
    > ни чуть не увиляет

    Зато обнаружение бэкдора - несомненно радует любителей проприетарщины.

     
     
  • 3.22, Аноним (-), 15:27, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Зато обнаружение бэкдора - несомненно радует любителей проприетарщины.

    Закладки в аппаратной части тоже ни кто не отменял. Так что тот факт, что у вас открытое ПО еще не показатель повышенной безопасности. )

     
     
  • 4.23, sfstudio (ok), 17:06, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Повышенной относительно чего? Относительно дырявой проприретари с закладками на том же железе с закладками??? Ещё как показатель. =)
     
  • 4.26, Аноним (-), 18:26, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > факт, что у вас открытое ПО еще не показатель повышенной безопасности. )

    Это еще почему? Как минимум административный логин по типу AWARD_SW у супермикры очень даже отвалится. А сильно сложную логику в железо, в отличие от софта, не запихнешь.

     
     
  • 5.28, linux must __RIP__ (?), 19:18, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> факт, что у вас открытое ПО еще не показатель повышенной безопасности. )
    > Это еще почему? Как минимум административный логин по типу AWARD_SW у супермикры
    > очень даже отвалится. А сильно сложную логику в железо, в отличие
    > от софта, не запихнешь.

    мисье вы о VHDL, AHDL, Verilog слышали? вот на VHDL делают целый 8051 на базе PLD... это называется сложную логику в железо не запихать? да еще и перепрограммуремую в Altera APEX (к примеру)..

     
     
  • 6.44, Аноним (-), 16:12, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    На их основе и более сложные вещи прототипируют Тем не менее, процессор как так... большой текст свёрнут, показать
     
  • 2.29, Аноним (-), 19:33, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ни хочу никогда обидеть Но открытость ПО еще не гарантирует того что данное ПО ... большой текст свёрнут, показать
     
     
  • 3.30, Анон42 (?), 22:08, 07/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Но открытость ПО еще не гарантирует

    У нормальных людей Гарантирует!:)

     
     
  • 4.38, анон (?), 12:19, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Если это не толстый троллинг, то гарантировать ничто не может, кроме случая собственноручной реализации как аппаратной, так и программной (что проще, в случае с СПО) части и то, сложность систем, способных на большее чем "Hello world", не дает права гарантировать, что в ПО и железе нет пусть не "закладок", а хотя бы, скажем так, "непредусмотренного поведения". Наличие таких "возможностей" не исключает их применения при взломе подобных систем. А те, кто думает, что безопасность можно гарантировать какими либо способами, те ССЗБ. Безопасность можно только повысить до какого-то уровня, обычно исходя из предполагаемых убытков в случае взлома.
     
     
  • 5.53, Анон42 (?), 21:41, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ok. Я процитирую ваше предложение полностью:)
    > Но открытость ПО еще не гарантирует того что данное ПО безопаснее чем закрытое.

    Отсюда следует, что "если ПО идентично по кодовой базе, но один вариант имеет открытые исходники, а другой таковых не имеет, то первый вариант, с точки зрения обеспечения безопасности предпочтительней, а соответственно "гарантирует, что он более безопасен". Корректность формулировки последней цитаты, с точки зрения русского языка, можно опустить.:)

     
     
  • 6.56, анон (?), 23:55, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    1. Вы банально приписали мне авторство высказывания другого человека.
    2. Не поняли смысла написанного мной.
    3. Не понимаете смысла слова "гарантирует".
    4. Неправильно понимаете характер взаимосвязи между открытостью и безопасностью.
     
  • 3.45, Аноним (-), 16:20, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Оно гарантирует что изначальные намерения - честные А то что баги бывают в любы... большой текст свёрнут, показать
     
     
  • 4.50, анон (?), 19:20, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    И откуда сведения о площади кристалла на 1 бэкдор? Не стоит исключать и (внезапно) прошивку в "железе", принимаемую за функции логики кристалла.
     
  • 3.55, XoRe (ok), 23:49, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Ни хочу никогда обидеть. Но открытость ПО еще не гарантирует того что
    > данное ПО безопаснее чем закрытое.

    Не гарантирует, но шансы повышает на порядки.
    На самом деле, можно сколько угодно спорить "я думаю, вот так. А я думаю, так".
    Но мы же взрослые люди, можно вытащить и померить :)
    Т.е. посмотреть статистику атак и взломов на те или иные системы.
    Вопросы отпадут сами собой.
    Ну и у открытого ПО скорость фиксов обычно выше (тоже можно поднять статитику).

     

  • 1.33, odeskby (ok), 00:49, 08/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    так это еще не везде собака порылась, они только как кидис cgi интерфейс долбили

    " Note that this assessment did not include the actual IPMI network services and was primarily focused on default keys, credentials, and the web management interface."

    неприятно у мну 50 узлов со встроенным в порты функционалом

     
     
  • 2.46, Аноним (-), 16:22, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > неприятно у мну 50 узлов со встроенным в порты функционалом

    Ждите гостей из группы Anonymous и АНБ.

     
     
  • 3.48, odeskby (ok), 16:35, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> неприятно у мну 50 узлов со встроенным в порты функционалом
    > Ждите гостей из группы Anonymous и АНБ.

    Ну не все так страшно - это вычислительные блейды. И я их контролирую через цудовный жавский инструмент ... но порты все равно светят. Видна-жава парни обертки для http/s хорошо пишут .... Считают они вообщем хорошо ....Больше беспокоят BMC карточки от интел.

     

  • 1.34, Аноним (-), 04:00, 08/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Испокон веков было известно какой мусор выпускает supermicro.
     
  • 1.36, тигар (ok), 10:27, 08/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    dedicated ipmi порт + отдельный свищ, например. ну или vlan. зачем ЭТО выставлять в интернетики?
     
     
  • 2.47, Аноним (-), 16:23, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > dedicated ipmi порт + отдельный свищ, например. ну или vlan. зачем ЭТО
    > выставлять в интернетики?

    Ты уже слой гипса на свой ... штекер эзернета наложил? :)

     

  • 1.37, Нанобот (ok), 10:41, 08/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    так а какой логин/пароль у скрытого аккаунта?
     
     
  • 2.39, Нанобот (ok), 15:25, 08/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    # cat /mnt/1/wsman/openwsman/etc/openwsman/digest_auth.passwd
    wsman:OPENWSMAN:5a659df1ac36d2f4eb84092145532919

    это оно?

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру