The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в BMC-контроллере Supermicro позволяет получить доступ к паролям управляющего интерфейса

20.06.2014 10:14

В BMC (Baseboard Management Сontroller) чипе, используемом в материнских платах Supermicro, выявлена уязвимость, позволяющая злоумышленнику получить доступ к паролям входа в управляющий интерфейс. Проблема вызвана тем, что содержимое файла с паролями выводится среди бинарного блока данных, который можно получить без аутентификации через сетевой порт 49152. Техника эксплуатации очень проста, достаточно подключиться к порту 49152 и выполнить команду "GET /PSBlock". Пароли выдаются в открытом виде, без хэширования.

Выявившие уязвимость исследователи безопасности предупреждают, что им удалось обнаружить в сети 31964 серверов, подверженных данной проблеме, при этом на 3296 (10%) из этих систем применялись пароли, заданные по умолчанию. Предоставляемый BMC-контроллером IPMI-интерфейс предоставляет средства для мониторинга и управления оборудованием, в том числе позволяет отслеживать состояние датчиков, управлять питанием, прошивками и дисками, удалённо загрузить на сервере собственную ОС по сети, организовать работу консоли удалённого доступа для атаки на базовую ОС и изменения настроек BIOS.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Семь уязвимостей в IPMI-прошивках Supermicro
  3. OpenNews: Проблемы с безопасностью серверов с IPMI. Бэкдор в системах хранения HP
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/40045-bmc
Ключевые слова: bmc, supermicro, ipmi
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (74) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:34, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Не фига ВМС выставлять в интернет без впн!
     
     
  • 2.4, Аноним (-), 11:25, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    а теперь предположи, что у тебя дедик на хетцнере.
     
     
  • 3.17, абыр (ok), 12:58, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > а теперь предположи, что у тебя дедик на хетцнере.

    И что ?

     
     
  • 4.18, Клыкастый (ok), 13:10, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    у тебя например нет привычки IPMI белым адресом снабжать, а у людей вишь, проблемы.
     
     
  • 5.20, Аноним (-), 13:40, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > вишь, проблемы.

    Не, блин, бэкдор в менеджмент интерфейсе - не проблема. Так, шутка юмора от NSA.

     
     
  • 6.23, Клыкастый (ok), 14:33, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> вишь, проблемы.
    > Не, блин, бэкдор в менеджмент интерфейсе - не проблема. Так, шутка юмора
    > от NSA.

    - Ну, ужас. Но уж не "ужас-ужас-ужас!!!"...
    (с) анекдот

     
     
  • 7.24, Аноним (-), 14:36, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Когда производитель не стесняется всовывать настолько откровенный бэкдор в фирмвару - это таки "ужас-ужас-ужас!!!", ибо кто знает чего они еще там впихнули и при каких условиях это активируется.
     
     
  • 8.29, Клыкастый (ok), 14:43, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    кто знает чего они еще там впихнули и при каких условиях это активируется Вас... текст свёрнут, показать
     
     
  • 9.36, Аноним (-), 15:04, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот так и оставим Без полных исходничков грош цена заявлениям любых производите... текст свёрнут, показать
     
     
  • 10.38, Клыкастый (ok), 15:10, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Пока намечается такой исход либо проверку будут делать свои спецслужбы чужих ... текст свёрнут, показать
     
     
  • 11.47, Аноним (-), 17:03, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Во первых, их квалификация как правило оставляет желать И их выводам - грош цен... большой текст свёрнут, показать
     
     
  • 12.62, Аноним (-), 23:21, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Оу Чтобы делать такие заявления, нужно на 100 знать, что говорите Вы не знает... текст свёрнут, показать
     
     
  • 13.64, Аноним (-), 00:46, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да вот как-то попадались примеры и квалификации и честности Насчет последнего в... текст свёрнут, показать
     
  • 10.63, Аноним (-), 00:38, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    100500 ... текст свёрнут, показать
     
  • 2.22, Нанобот (ok), 14:08, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    нефиг выпускать недоВМС, который в интернет выставлять опасно без десяти внешних защит
     
     
  • 3.34, Аноним (-), 14:54, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты не понял, чувак. Это не недо-BMC. Это вполне себе полноценный и успешный бэкдор. Вполне работоспособный, как видишь.
     
     
  • 4.58, Аноним (-), 20:07, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак - это слово для быдла, причем ругательное.
     
     
  • 5.65, Аноним (-), 00:50, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Для обозначения ламероватых наноботов как раз подходит.
     
  • 3.71, commiethebeastie (ok), 11:02, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты думаешь в твоей циске или микротике нет бекдоров?
     

  • 1.2, Аноним (-), 10:34, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > выявлена уязвимость, позволяющая злоумышленнику получить доступ к паролям
    > входа в управляющий интерфейс.

    Это не баг, это фича. Придется теперь Supermicro новые инженерные входы для парней из АНБ придумывать. А то спалили конторку...

    > 31964 серверов, подверженных данной проблеме, при этом на 3296 (10%) из этих
    > систем применялись пароли, заданные по умолчанию

    Так вот ты какой, бесплатный хостинг...

     
  • 1.3, Аноним (-), 11:13, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    СУПЕР! бесплатные дедики
     
     
  • 2.5, ABATAPA (ok), 11:42, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да, года 2-3 условно заплатите, и всё.
     
     
  • 3.7, YetAnotherOnanym (ok), 11:55, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю как у нас, но у буржуев если ты заходишь на чужую систему через общедоступный сервис, неважно какой, и тебе не выдаётся предупреждение, что это только для authorized personnel, то никакой ответственности тебе не будет. Потому что общедоступный сервис.
     
  • 3.11, Аноним (-), 12:07, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, года 2-3 условно заплатите, и всё.

    Если поймают. Как известно, "не умеешь - не берись". Настоящие блекхэты вообще пустят автоматического червяка, который сам сканит и сам проламывается. А кто там этим ботнетом рулит - ищи его свищи. Некоторых, конечно, находят, но судя по количеству автоматической живности - автоматическая живность побеждает с большим отрывом.

     

  • 1.6, YetAnotherOnanym (ok), 11:46, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чота я не догоняю - в статье говорится, что IPMI доступен через "public interface". Это чо - оно шарит ethernet-дырку с основной системой, сканит трафик и выцепляет для себя запросы на порт 49152?
     
     
  • 2.8, A.Stahl (ok), 12:04, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >сканит трафик и выцепляет для себя запросы

    Ну да -- фасоль в один мешок (АНБ), горох в другой (какая-то рекламно-статистическая конторка), а пшеницу -- так уж и быть -- пользователю....

     
     
  • 3.10, DeerFriend (?), 12:05, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>сканит трафик и выцепляет для себя запросы
    > Ну да -- фасоль в один мешок (АНБ), горох в другой (какая-то
    > рекламно-статистическая конторка), а пшеницу -- так уж и быть -- пользователю....

    Нет, ему нужно отдельный IP прописывать.

     
     
  • 4.12, Аноним (-), 12:09, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет, ему нужно отдельный IP прописывать.

    А 32 битный айпишник перебирается с гигабита за считанные часы. Так что если он висит в интернет - поздравляю, вы попали.

     
     
  • 5.14, Аноним (-), 12:40, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    То же самое можно сказать о любом встраиваемом девайсе с индусской шайтан-прошивкой. Интранет, доступный только с VPN'а и разбиение сети на VLAN'ы - наше все.
     
     
  • 6.15, Аноним (-), 12:45, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поэтому она первым делом заменяется на openwrt. А теперь попробуй так с этим Backdoor Management Controller'ом...
     
     
  • 7.16, абыр (ok), 12:57, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какая буква в слове VLAN вам непонятна ?
     
     
  • 8.19, Аноним (-), 13:39, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Куда ты VLAN будешь делать В intranet Который создан на основе подобного протр... текст свёрнут, показать
     
     
  • 9.25, абыр (ok), 14:37, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Понятно, шапочку из фольги уже сделали ... текст свёрнут, показать
     
     
  • 10.31, Аноним (-), 14:44, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Данные вопросы в новости про откровенный БЭКДОР от производителя - выглядят неск... текст свёрнут, показать
     
  • 9.32, YetAnotherOnanym (ok), 14:48, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Тёплый ламповый осциллограф спасёт отца демократии ... текст свёрнут, показать
     
     
  • 10.48, Аноним (-), 17:06, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Интересный у вас сниффер ... текст свёрнут, показать
     
     
  • 11.56, Аноним (-), 19:14, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Только не осциллограф, а логический анализатор И не ламповый, а полупроводников... текст свёрнут, показать
     
  • 10.60, Michael Shigorin (ok), 20:48, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Метротековский, что ли ... текст свёрнут, показать
     
     
  • 11.67, YetAnotherOnanym (ok), 00:59, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это кто такие Я их не знаю Я, вообще-то, имел в виду вот что Если нельзя бы... текст свёрнут, показать
     
     
  • 12.68, Аноним (-), 02:37, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В данном случае претензии к софту В полупроводник довольно сложно втамбовать мн... текст свёрнут, показать
     
  • 10.72, commiethebeastie (ok), 11:04, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Некромант, это ты ... текст свёрнут, показать
     
  • 8.27, Аноним (-), 14:39, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А с чего вы взяли что этот кусок бэкдора ведет себя так как вы ожидаете и соблюд... текст свёрнут, показать
     
     
  • 9.30, абыр (ok), 14:43, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да оно силой мысли перекофигурирует порт свитча в который включено ... текст свёрнут, показать
     
     
  • 10.33, Аноним (-), 14:48, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще не обязательно Там вон написано что можно шарить с портом мамки И даже ... текст свёрнут, показать
     
  • 2.9, DeerFriend (?), 12:04, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это в настройках настраивается.
    Можно шарить ipmi в lan1 дырку (отдельный влан, или без вланов, но с отдельным IP адресом), а можно только в выделенный порт.
    По умолчанию шарится и в lan1 и в отдельный порт. Но без настройки IP адреса в биосе, работать не будет.
     
     
  • 3.13, Аноним (-), 12:25, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какой хороший бэкдор, даже с настроечками.
     
  • 3.26, YetAnotherOnanym (ok), 14:38, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно. То есть нет обстоятельств, неизбежно вынуждающих назначать на используемый ipmi интерфейс доступный извне IP-адрес.
     
     
  • 4.28, Аноним (-), 14:42, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > интерфейс доступный извне IP-адрес.

    А с чего ты вообще взял что этот бэкдор на 100% учитывает тот шит который ты ему в сетапе указал? Можно шарить? Можно. И если ты используешь тот порт - тебе остается только на слово поверить что фирмвара, честное пионepское, не будет там слушать. Насколько оно там по факту так и будет - отдельный такой вопрос. А чего помешает тихой сапой смотреть что валится на интерфейс, ожидая magic packet? Ну раз magic URL можно сделать - можно и много чего иного.

     
     
  • 5.35, YetAnotherOnanym (ok), 15:02, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Фирмвара может слушать и в том случае, если IMPI настроен на использование другой ethernet-дырки или даже плата вообще не имеет IPMI (для владельца). Но это не значит, что надо оставлять дефолтный пароль или поднимать IMPI на ифейсе, который смотрит наружу.
     
     
  • 6.39, Аноним (-), 15:12, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Фирмвара может слушать и в том случае, если IMPI настроен на использование
    > другой ethernet-дырки

    Грубо говоря, можешь с чистой совестью считать что эти настройки - фуфло. А какие основания верить производителю бэкдоров?

    > Но это не значит, что надо оставлять дефолтный пароль

    Хренли толку со смены пароля, если новый пароль узнается одним HTTP GET запросом? Хотя блекхатам пароль в коллекцию пригодится - вдруг окажется что админ лох и использует такой же пароль где-то еще. Ну там рутовый пароль например. Или мыльник какой.

     
     
  • 7.53, YetAnotherOnanym (ok), 18:31, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > новый пароль узнается одним HTTP GET запросом

    Вообще-то, там было ещё сказано "поднимать IMPI на ифейсе, который смотрит наружу". Без этого использовать из Интернета описанный в новости бэкдор не получится.

     
     
  • 8.66, Аноним (-), 00:58, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Достаточно гонять во внешку траффик через какой либо интерфейс которым IPMI поте... текст свёрнут, показать
     
  • 2.59, Michael Shigorin (ok), 20:43, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Чота я не догоняю - в статье говорится, что IPMI доступен через
    > "public interface". Это чо - оно шарит ethernet-дырку с основной системой

    Может и шарить, может на отдельной сидеть (если физически есть).  В последнем случае  может быть и конфигурируемо при условии, что дорожки разведены к разным портам.

    > сканит трафик и выцепляет для себя запросы на порт 49152?

    В случае шаринга для начала должно забирать то, что на его mac -- вот только в случае IPMI 1.5 с завидной регулярностью BMC начинал молча жрать трафик хоста (в 2.0 поправили, по крайней мере в том виде).

     
     
  • 3.69, Аноним (-), 02:40, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > разведены к разным портам.

    IIRC у некоторых чипсетов интеля side channel для BMC - фича. И ничего вы с этим не сделаете, кроме неиспользования такой сетевки совсем ни для каких целей.

    > В случае шаринга для начала должно забирать то, что на его mac

    Никому никто ничего не должен. Откровенно бэкдорная технология. А вот и первые ласточки прилетели.

     

  • 1.37, Аноним (-), 15:04, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что-то не сработало (
     
     
  • 2.40, Аноним (-), 15:25, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    On 11/7/2013, after reading a couple articles on the problems in IPMI by Rapid7’s HD Moore (linked at the end), I discovered that Supermicro had created the password file PSBlock in plain text and left it open to the world on port 49152.
     
  • 2.41, Anonymus (?), 15:42, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    У меня сработало (
    SMASH недоступен чтоб дырку приткнуть.
    И фирмваря нового у супермикры нету.
    Зопа, зопа и исчо раз зопа.
    Один выход - писать админу чтоб шланги повытаскивал до лучших времен.
     
     
  • 3.43, омномном (?), 16:12, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    У меня с десяток таких, половину всех супернекро. Апдейтов нет.
     
     
  • 4.52, Аноним (-), 17:15, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У меня с десяток таких, половину всех супернекро. Апдейтов нет.

    Хочешь потестировать новую версию бэкдора? Обломись, у АНБ нет публичного багтрекера.

     
     
  • 5.57, омномном (?), 19:19, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Блджя.... Как же так?  :(
     

  • 1.42, arisu (ok), 15:57, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    покупайте лицензионный софт, его пишут настоящие профессионалы!
     
     
  • 2.44, Аноним (-), 16:36, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Крупные вендоры это филиалы АНБ, государство им выделает поддержку.
     
     
  • 3.49, Аноним (-), 17:11, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > государство им выделает поддержку.

    А я то думал что это лошпеды покупающие брендовое оборудование неплохо справляются с поддержкой поимения себя любимых.

     
  • 2.46, Аноним (-), 16:45, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > покупайте лицензионный софт, его пишут настоящие профессионалы!

    Его продают настоящие профессионалы. Пишут те же балбесы.

     
     
  • 3.50, Аноним (-), 17:12, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Его продают настоящие профессионалы. Пишут те же балбесы.

    Да нет, бэкдор сделан вполне профессионально. Пароли в виде текста? Отдаваемые get-запросом? Диверсия удалась!

     
  • 2.51, Аноним (-), 17:13, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > покупайте лицензионный софт, его пишут настоящие профессионалы!

    Проприетара такая, да :).

     

  • 1.45, Аноним (-), 16:45, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://fish2.com/ipmi/
     
  • 1.54, Stax (ok), 18:44, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гм. У меня в ближайшем supermicro ipmi на порту 49152 не слушает..
    nmap показал открытыми только 22 и 443.
     
     
  • 2.55, anonymousZ (?), 19:13, 20/06/2014 [^] [^^] [^^^] [ответить]  
  • +/

    У меня некоторые на 49154 висят.
     
  • 2.70, Аноним (-), 03:36, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > nmap показал открытыми только 22 и 443.

    А попробуй этот запрос на 443? Хотя, может быть, повезло и модуль бэкдора забыли включить. Или не повезло и модуль бэкдора неизвестной науке системы.

     
     
  • 3.73, Stax (ok), 21:49, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    $ openssl s_client -connect ipmi-lime.asgard:443
    CONNECTED(00000003)
    ...
    ---
    New, TLSv1/SSLv3, Cipher is AES256-SHA
    Server public key is 1024 bit
    Secure Renegotiation IS NOT supported
    ...
    GET /PSBlock

    HTTP/1.1 302 Redirect
    Server: GoAhead-Webs
    Date: Sat Jun 21 17:40:10 2014
    Pragma: no-cache
    Cache-Control: no-cache
    Content-Type: text/html
    P3P: CP="NON DSP CURa OUR NOR UNI"
    Location: https://192.168.2.12/auth.asp?redirect=yes

    <html><head></head><body>
    Moved to this <a [removed url]">location</a>.
    <!-- response_code_begin ERIC_RESPONSE_OK response_code_end response_msg_begin  response_msg_end  --></body></html>

    read:errno=0


    Фиг знает, как реальный клиент работает - зашел по https сейчас на веб-интерфейс, открыл java-клиент kvm, посмотрел - он соединен только с портом 443.
    Это далеко не новый сервер, возможно, бэкдор еще не включили. Хотя прошивка IPMI последняя стоит.

     
     
  • 4.74, Аноним (-), 23:08, 21/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    АНБ вашу модельную серию не заказывали для фирм
     

  • 1.61, AlexAT (ok), 22:23, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот это кошерно, да.
     
  • 1.75, PnDx (ok), 10:54, 23/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    FW 03.19 - навскидку, данной дыры нет.
    http://supermicro.com/support/bios/firmware0.aspx
    "Unpatched BMCs in Supermicro motherboards contain a binary file..." - сильно расплывчато.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру