Компьютерная команда экстренной готовности США (US-CERT) опубликовала (https://www.us-cert.gov/ncas/alerts/TA13-207A) предупреждение о проблемах с безопасностью серверных систем, поддерживающих интерфейс IPMI (Intelligent Platform Management Interface). IPMI представляет собой доступный по сети независимый интерфейс для мониторинга и управления оборудованием, позволяющий отслеживать состояние датчиков, управлять питанием и выполнять другие операции с оборудованием.Доступ к IPMI открывает злоумышленнику средства для низкоуровневого доступа к серверу, в обход средств операционной системы. В ситуации ненадлежащей настройки IPMI, большое число серверных систем, имеющих выход в глобальную Сеть, оказались подвержены атаке. Получив доступ к IPMI атакующие получают возможность управлять прошивками и дисками, могут удалённо загрузить на сервере собственную ОС по сети, организовать работу консоли удалённого доступа для атаки на базовую ОС и изменения настроек BIOS.
Проблема усугубляется тем, что многие конфигурации IPMI доступны без пароля или используют пароль по умолчанию. Из проблем также отмечается хранение паролей в открытом виде, отсутствие шифрования некоторых видов трафика IPMI, утечка одного пароля даёт доступ ко всем серверам группы IPMI. Всем администраторам оборудования, оснащённого контроллерами BMC и поддерживающего IPMI, предлагается убедиться в надлежащей настройке своих систем. Рекомендуется установить недёжный пароль, включить шифрование доступа и выполнить привязку IPMI к отдельному внутреннему интранет-адресу, желательно выделенному в отдельный сегмент локальной сети. Из серверных систем, подверженных проблемам отмечены серверы на базе контроллеров HP Integrated Lights Out (iLO), Dell DRAC и IBM Remote Supervisor Adapter.Дополнительно можно отметить, что компания HP подтвердила (http://www.theregister.co.uk/2013/07/11/hp_prepping_fix_for_.../) утечку параметров инженерного входа, позволяющего организовать удалённый доступ для управления системами хранения HP StoreVirtual. О наличии похожего недокументированного инженерного входа исследователи безопасности также сообщают в продуктах StoreOnce, но эта информация ещё не подтверждена. Бэкдор присутствует в продуктах, начиная с 2009 года, и используется службой поддержки для удалённой диагностики проблем при поступлении запросов от клиентов. В обновлении прошивки, выпущенном (https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDis...) 17 июля, добавлена возможность отключения инженерного входа.
В случае проникновения злоумышленник получает полный root-доступ к используемой на системах хранения операционной системе LeftHand, но не имеет доступа к хранимым данным. Тем не менее, атакующий может инициировать очистку массива или вывести узел хранения из состава кластера. Кроме того, имеется возможность загрузки сертификата для организации доступа к другим системам, управляемым через Systems Insight Manager.URL: https://www.us-cert.gov/ncas/alerts/TA13-207A
Новость: http://www.opennet.me/opennews/art.shtml?num=37554
Кто вывешивает IPMI в глобальную сеть, сам виноват!
У нас к примеру используется отдельная физическая сетка для мониторинга и управления.
А коммуникации защищены? А мониторите из-под Windows? А у пользователей по сколько розеток на рабочих местах (соединив 2 любые патчем, можно легко положить всю сеть)? И т.д., и т.п.
>> А у пользователей по сколько розеток на рабочих местах (соединив 2 любые патчем, можно легко положить всю сеть)?Storm control использовать не судьба?
STP не для вас?
stp не панацея. я как то наблюдал фееричный развал сети, хотя stp был включен. но почему то отказывался нормально работать через туеву хучу хабов, спецжелезок и кое-какого оконечного оборудования.
> Кто вывешивает IPMI в глобальную сеть, сам виноват!Ну да, если ты упал в открытый люк с кипятком - ты сам виноват. Что не отменяет того факта что коммунальщики, которые его открыли и не поставили загородки на время работ - пи...сы :)
Не понял в чем новость. В IPMI есть инженерный пароль?
Кто ж, действительно, IPMI внаружу выставляет?
> Кто ж, действительно, IPMI внаружу выставляет?Вопрос из серии: "Кто ж, действительно, RDP внаружу выставляет?" или "Кто ж, действительно, SSH внаружу выставляет?"
Что же это за сервис такой, особенный, который не следует (по мнению анонимных аналитиков OpenNet-а) наружу выставлять?
>> Кто ж, действительно, IPMI внаружу выставляет?
> Вопрос из серии: "Кто ж, действительно, RDP внаружу выставляет?" или "Кто ж,
> действительно, SSH внаружу выставляет?"
> Что же это за сервис такой, особенный, который не следует (по мнению
> анонимных аналитиков OpenNet-а) наружу выставлять?А какие проблемы с SSH-то? Запрет парольной аутентификации и нестандартный порт никто не отменял.
Смена порта -- это защита "ни о чём". Умная взламывалка без малейших усилий определит настоящий SSH. Это можно даже увидеть набрав просто `telnet remoteServer 22` (в качестве гритера будет что-то "типа SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2".
Впрочем, запрет входа по паролю это хороший аргумент.)
> Смена порта -- это защита "ни о чём". Умная взламывалка без малейших
> усилий определит настоящий SSH. Это можно даже увидеть набрав просто `telnet
> remoteServer 22` (в качестве гритера будет что-то "типа SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2".Это срезает тупые сканы, которых подавляющее большинство в инете. Защитой является ассиметрика при аутентификации.
> ассиметрика при аутентификации.И вместо рака будет грыжа. В смысле, каждый уважающий себя автоматический троянец ключи от ssh первым делом прет и раскидывает себя везде где у чудака быд доступ.
>> ассиметрика при аутентификации.
> И вместо рака будет грыжа. В смысле, каждый уважающий себя автоматический троянец
> ключи от ssh первым делом прет и раскидывает себя везде где
> у чудака быд доступ.Сколько лет работаю, ни разу троянцев не было. Чё я делаю не так? Может я не той осью пользуюсь для работы? Да и веду себя похоже не удобным для троянцев образом.
>> Что же это за сервис такой, особенный, который не следует (по мнению
>> анонимных аналитиков OpenNet-а) наружу выставлять?
> А какие проблемы с SSH-то? Запрет парольной аутентификации и нестандартный порт никто
> не отменял.Ну так об этом и речь. Перечитай исходное предложение ещё раз.
> Запрет парольной аутентификацииПравильно! Троянам намного удобнее ключи автоматически пи...ть :).
IPMI - это обычно отдельный порт на сервере, который втыкается во внутреннюю упраляющую, сеть, либо отдельный влан.учитывая, что через IPMI действительно можно обновить прошивку, переустановить ос, и т.п., да и вообще качество его реализации у HP, надо быть идиотом чтобы додуматься его к внешней сети подключить.
> IPMI - это обычно отдельный порт на сервереНередко shared, причём на IPMI 1.5 такое любило ещё и чужие пакеты сожрать (на 2.0 вроде не наблюдалось). Вообще ipmitool lan print [n] полезно поразглядывать.
Это (ipmi c shared) вообще использовать нельзя, то вланы не работают, то с jumbo-фреймами проблемы, то лапы ломит, то хвост отваливается.
Только выделенный порт для IPMI или нахрен такое железо.
О да!
Как IPMI 1.5 на shared-порту меня радовал блт.
> учитывая, что через IPMI действительно можно обновить прошивку, переустановить
> ос, и т.п.,
> да и вообще качество его реализации у HP, надо быть идиoтом
> чтобы додуматься его к внешней сети подключить.Может в консерватории чего подправить и не делать таких однозначных, далеко идущих выводов? А то вы тут огульно людей идиoтами обзываете.
Не понял. Они там уязвимость обнаружили, или пришли к выводу что существуют люди вывешивающие IPMI в паблик с дефолтовым паролем?
Наверное, АНБ немного о...ело когда какие-нибудь китайцы взломали их через бэкдор-интерфейс, который парни из интеля по идее оставляли для своих, любимых :).
> Не понял. Они там уязвимость обнаружили, или пришли к выводу что существуют
> люди вывешивающие IPMI в паблик с дефолтовым паролем?Судя по новости, второе.
а вам не приходит в голову что бывают люди, арендующие в датацентре ОДНО место под ОДИН сервер. И что по вашему им делать с iLO ? Арендовать второй юнит под vpn/файрволл под iLO? Или сознательно отключить себе аварийную возможность спасения системы над которой будет утрачен контроль?
> а вам не приходит в голову что бывают люди, арендующие в датацентре
> ОДНО место под ОДИН сервер. И что по вашему им делать с iLO ?Подсказка/просьба к ДЦшникам: серая сетка, vlan по запросу или сразу статический per client, возможность зайти на узел доступа по ssh либо заказать себе проброс портов для доступа к iKVM. Тем, у кого не столько серверов, чтоб держать свой свич/маршрутизатор, может быть очень толкабельно.
Ну и про кончину батареек сигналить куда-нить бы, в идеале совместимым с nut образом...
А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP.
> А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP.Пробовал читать сообщение перед отправкой?
> А почему не написали что интерфейс такой не функциональный что там даже
> простых функций безопасности например блокировка по IP.Админы локалхоста такие админы. Ты его в глазки-то видел?
> А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP.ты хотя бы одну запятую поставил, хоть где-нибудь, умнее казался.
Одна мжвячная госконтора использует IPMI на активХЭ с белыми адресами. Когда я с ними работал, то использовал для доступа виртуальную машину с вантузом и ыксплорером. БЛДЖАДЪ!!!11
> и ыксплорером. БЛДЖАДЪ!!!11ipmi можно и из линуха рулить, софт для этого есть вроде как. Что не отменяет того факта что он сам по себе - бэкдор. Для удобства админов. Ну и хакеров, АНБ и прочая.
> Одна мжвячная госконтора использует IPMI на активХЭ с белыми адресами.Ну использует. И что?
Тема должна называться, "Эксперты выявили в продукатах HP заплатки для АНБ"
HP извинилась перед АНБ за доставленные неудобства.
> недёжный паролья такого и не выдумаю…
uuidgen
> uuidgenа он точно «недёжные» пароли генерировать умеет?
так надо самому добавить или поменять пару символов, всяко лучше чем то что обычно придумывают.
> так надо самому добавить или поменять пару символов, всяко лучше чем то
> что обычно придумывают.но я всё-таки хочу знать, что такое «недёжный».
> но я всё-таки хочу знать, что такое «недёжный».Cerfyf[eq,kznm
Vjqyfxfkmybrblbjn
Flvbykjrfk[jcnf
Dct.pthsrjpks
Ты читать умеешь? нЕдёжный
^
Если пишите новость про бэкдор, то пишите как им пользоваться
man ipmitool
> В ситуации ненадлежащей настройки IPMI, большое
> число серверных систем, имеющих выход в глобальную Сеть, оказались подвержены атаке.кстати да. я одного такого знаю.
троекратно предупредил, но он упорствовал.