В BMC (Baseboard Management Сontroller) чипе, используемом в материнских платах Supermicro, выявлена (http://blog.cari.net/carisirt-yet-another-bmc-vulnerability-.../) уязвимость, позволяющая злоумышленнику получить доступ к паролям входа в управляющий интерфейс. Проблема вызвана тем, что содержимое файла с паролями выводится среди бинарного блока данных, который можно получить без аутентификации через сетевой порт 49152. Техника эксплуатации очень проста, достаточно подключиться к порту 49152 и выполнить команду "GET /PSBlock". Пароли выдаются в открытом виде, без хэширования.
Выявившие уязвимость исследователи безопасности предупреждают, что им удалось обнаружить в сети 31964 серверов, подверженных данной проблеме, при этом на 3296 (10%) из этих систем применялись пароли, заданные по умолчанию. Предоставляемый BMC-контроллером IPMI-интерфейс предоставляет средства для мониторинга и управления оборудованием, в том числе позволяет отслеживать состояние датчиков, управлять питанием, прошивками и дисками, удалённо загрузить на сервере собственную ОС по сети, организовать работу консоли удалённого доступа для атаки на базовую ОС и изменения настроек BIOS.URL: http://arstechnica.com/security/2014/06/at-least-32000-serve.../
Новость: http://www.opennet.me/opennews/art.shtml?num=40045
Не фига ВМС выставлять в интернет без впн!
а теперь предположи, что у тебя дедик на хетцнере.
> а теперь предположи, что у тебя дедик на хетцнере.И что ?
у тебя например нет привычки IPMI белым адресом снабжать, а у людей вишь, проблемы.
> вишь, проблемы.Не, блин, бэкдор в менеджмент интерфейсе - не проблема. Так, шутка юмора от NSA.
>> вишь, проблемы.
> Не, блин, бэкдор в менеджмент интерфейсе - не проблема. Так, шутка юмора
> от NSA.- Ну, ужас. Но уж не "ужас-ужас-ужас!!!"...
(с) анекдот
Когда производитель не стесняется всовывать настолько откровенный бэкдор в фирмвару - это таки "ужас-ужас-ужас!!!", ибо кто знает чего они еще там впихнули и при каких условиях это активируется.
"кто знает чего они еще там впихнули и при каких условиях это активируется."Вас смущает слово "ещё"? потому что без него фраза актуальна на любом оборудовании стороннего производителя.
> фраза актуальна на любом оборудовании стороннего производителя.Вот так и оставим. Без полных исходничков грош цена заявлениям любых производителей о том какие они белые и пушистые. Рубка за контроль, ресурсы и информацию пошла в открытую уже.
> Вот так и оставим. Без полных исходничков грош цена заявлениям любых производителей о том какие они белые и пушистые. Рубка за контроль, ресурсы и информацию пошла в открытую уже.Пока намечается такой исход: либо проверку будут делать свои спецслужбы ("чужих закладок там точно нет, пользуйтесь"), либо открываете исходнички ("смотрите сами - закладок нет"). Так что либо производитель открывает исходники всем, либо активно сотрудничает со спецслужбами страны, куда завозит. Остаётся серая часть оборудования "купленного по инету". Опять-таки если исходнички открыты - вопрос отпадает, а если нет - ситуация получается смешная. Закладочки возможно есть, но для кого и какие - неясненько. Ну типа как сейчас :)
> Пока намечается такой исход: либо проверку будут делать свои спецслужбы ("чужих закладок
> там точно нет, пользуйтесь"),Во первых, их квалификация как правило оставляет желать. И их выводам - грош цена. Особенно если мы про местных. Во вторых, закладки от местных спецслужб мне как-то ничуть не симпатичнее чем от иностранных. Они даже хуже. Потому что АНБ оно где-то там. Нагадить конечно и оно может, но свои любимые - ближе. К тому же там далеко не всегда кристально честные люди работают. Кроме всего прочего, такой бэкдор на черном рынке стоит мноооого денег.
> либо открываете исходнички ("смотрите сами - закладок нет").
Единственный внушающий доверия вариант. Правда даже так - с кучей оговорок.
> - ситуация получается смешная. Закладочки возможно есть, но для кого и
> какие - неясненько. Ну типа как сейчас :)Поскольку оборудование производится в китае и штатах - закладочки будут понятно для кого.
> Во первых, их квалификация как правило оставляет желать. И их выводам - грош цена. Особенно если мы про местных. Во вторых, закладки от местных спецслужб мне как-то ничуть не симпатичнее чем от иностранных. Они даже хуже. Потому что АНБ оно где-то там. Нагадить конечно и оно может, но свои любимые - ближе. К тому же там далеко не всегда кристально честные люди работают. Кроме всего прочего, такой бэкдор на черном рынке стоит мноооого денег.Оу. Чтобы делать такие заявления, нужно на 100% знать, что говорите. Вы не знаете.
> Оу. Чтобы делать такие заявления, нужно на 100% знать, что говорите. Вы
> не знаете.Да вот как-то попадались примеры и квалификации и честности. Насчет последнего вон свеженький пруфлинк как раз попался на глаза: http://newsru.com/arch/crime/19jun2014/advocprelfreepdmsk.html
+100500
нефиг выпускать недоВМС, который в интернет выставлять опасно без десяти внешних защит
Ты не понял, чувак. Это не недо-BMC. Это вполне себе полноценный и успешный бэкдор. Вполне работоспособный, как видишь.
Чувак - это слово для быдла, причем ругательное.
Для обозначения ламероватых наноботов как раз подходит.
Ты думаешь в твоей циске или микротике нет бекдоров?
> выявлена уязвимость, позволяющая злоумышленнику получить доступ к паролям
> входа в управляющий интерфейс.Это не баг, это фича. Придется теперь Supermicro новые инженерные входы для парней из АНБ придумывать. А то спалили конторку...
> 31964 серверов, подверженных данной проблеме, при этом на 3296 (10%) из этих
> систем применялись пароли, заданные по умолчаниюТак вот ты какой, бесплатный хостинг...
СУПЕР! бесплатные дедики
Да, года 2-3 условно заплатите, и всё.
Не знаю как у нас, но у буржуев если ты заходишь на чужую систему через общедоступный сервис, неважно какой, и тебе не выдаётся предупреждение, что это только для authorized personnel, то никакой ответственности тебе не будет. Потому что общедоступный сервис.
> Да, года 2-3 условно заплатите, и всё.Если поймают. Как известно, "не умеешь - не берись". Настоящие блекхэты вообще пустят автоматического червяка, который сам сканит и сам проламывается. А кто там этим ботнетом рулит - ищи его свищи. Некоторых, конечно, находят, но судя по количеству автоматической живности - автоматическая живность побеждает с большим отрывом.
Чота я не догоняю - в статье говорится, что IPMI доступен через "public interface". Это чо - оно шарит ethernet-дырку с основной системой, сканит трафик и выцепляет для себя запросы на порт 49152?
>сканит трафик и выцепляет для себя запросыНу да -- фасоль в один мешок (АНБ), горох в другой (какая-то рекламно-статистическая конторка), а пшеницу -- так уж и быть -- пользователю....
>>сканит трафик и выцепляет для себя запросы
> Ну да -- фасоль в один мешок (АНБ), горох в другой (какая-то
> рекламно-статистическая конторка), а пшеницу -- так уж и быть -- пользователю....Нет, ему нужно отдельный IP прописывать.
> Нет, ему нужно отдельный IP прописывать.А 32 битный айпишник перебирается с гигабита за считанные часы. Так что если он висит в интернет - поздравляю, вы попали.
То же самое можно сказать о любом встраиваемом девайсе с индусской шайтан-прошивкой. Интранет, доступный только с VPN'а и разбиение сети на VLAN'ы - наше все.
Поэтому она первым делом заменяется на openwrt. А теперь попробуй так с этим Backdoor Management Controller'ом...
Какая буква в слове VLAN вам непонятна ?
> Какая буква в слове VLAN вам непонятна ?Куда ты VLAN будешь делать? В intranet? Который создан на основе подобного протрояненого оборудования? Ваш интранет может быть не такой уж и intra.
Понятно, шапочку из фольги уже сделали ?
> Понятно, шапочку из фольги уже сделали ?Данные вопросы в новости про откровенный БЭКДОР от производителя - выглядят несколько по идиoтски, имхо.
> Куда ты VLAN будешь делать? В intranet? Который создан на основе подобного
> протрояненого оборудования? Ваш интранет может быть не такой уж и intra.Тёплый ламповый осциллограф спасёт отца демократии.
> Тёплый ламповый осциллограф спасёт отца демократии.Интересный у вас сниффер.
>> Тёплый ламповый осциллограф спасёт отца демократии.
> Интересный у вас сниффер.Только не осциллограф, а логический анализатор. И не ламповый, а полупроводниковый.
Желательно на fpga.
> Тёплый ламповый осциллограф спасёт отца демократии.Метротековский, что ли?
Это кто такие? Я их не знаю...
Я, вообще-то, имел в виду вот что: Если нельзя быть уверенным ни в какой полупроводниковой продукции (и уж точно - в более-менее сложной), остаётся полагаться на то, что можно проконтролировать невооружённым глазом. Схема простейшего осциллографа вполне осилябельна, начинка электронных ламп видна сквозь стекло - значит, этому прибору точно можно доверять. А дальше начинаем плясать от печки - если мы видим только пустую несущую когда система ничего не передаёт, то всё чисто, а если tcpdump ничего не показывает, лампочка не мигает, а несущая явно промодулирована каким-то сигналом - надо кричать "караул" и задумываться о каких-то более серьёзных приборах.
Такое вот умозрительное построение.
> в какой полупроводниковой продукции (и уж точно - в более-менее сложной),В данном случае претензии к софту. В полупроводник довольно сложно втамбовать много сложной логики. К тому же любой баг будет фатален. А вот в софт - очень даже, как видим.
> Тёплый ламповый осциллограф спасёт отца демократии.Некромант, это ты?
> Какая буква в слове VLAN вам непонятна ?А с чего вы взяли что этот кусок бэкдора ведет себя так как вы ожидаете и соблюдает ваши настройки, например?
Да-да оно силой мысли перекофигурирует порт свитча в который включено.
> Да-да оно силой мысли перекофигурирует порт свитча в который включено.Вообще не обязательно. Там вон написано что можно шарить с портом мамки. И даже если вы указали что это делать не надо - учитывая пробэкдоренность этой конструкции, грош цена тому что вы указали, этот кусок бэкдора может запросто положить на настройки. И вот достаточно поюзать и-фейс мамки для прокачки данных в интернете как супостат сможет потенциально получить magic packet. Хотя номинально никакого ipmi на и-фейсе нет, то что это действительно так - остается только поверить на слово. Господам пойманным на бэкдорах. Хе-хе.
Это в настройках настраивается.
Можно шарить ipmi в lan1 дырку (отдельный влан, или без вланов, но с отдельным IP адресом), а можно только в выделенный порт.
По умолчанию шарится и в lan1 и в отдельный порт. Но без настройки IP адреса в биосе, работать не будет.
Какой хороший бэкдор, даже с настроечками.
Понятно. То есть нет обстоятельств, неизбежно вынуждающих назначать на используемый ipmi интерфейс доступный извне IP-адрес.
> интерфейс доступный извне IP-адрес.А с чего ты вообще взял что этот бэкдор на 100% учитывает тот шит который ты ему в сетапе указал? Можно шарить? Можно. И если ты используешь тот порт - тебе остается только на слово поверить что фирмвара, честное пионepское, не будет там слушать. Насколько оно там по факту так и будет - отдельный такой вопрос. А чего помешает тихой сапой смотреть что валится на интерфейс, ожидая magic packet? Ну раз magic URL можно сделать - можно и много чего иного.
Фирмвара может слушать и в том случае, если IMPI настроен на использование другой ethernet-дырки или даже плата вообще не имеет IPMI (для владельца). Но это не значит, что надо оставлять дефолтный пароль или поднимать IMPI на ифейсе, который смотрит наружу.
> Фирмвара может слушать и в том случае, если IMPI настроен на использование
> другой ethernet-дыркиГрубо говоря, можешь с чистой совестью считать что эти настройки - фуфло. А какие основания верить производителю бэкдоров?
> Но это не значит, что надо оставлять дефолтный пароль
Хренли толку со смены пароля, если новый пароль узнается одним HTTP GET запросом? Хотя блекхатам пароль в коллекцию пригодится - вдруг окажется что админ лох и использует такой же пароль где-то еще. Ну там рутовый пароль например. Или мыльник какой.
> новый пароль узнается одним HTTP GET запросомВообще-то, там было ещё сказано "поднимать IMPI на ифейсе, который смотрит наружу". Без этого использовать из Интернета описанный в новости бэкдор не получится.
> Вообще-то, там было ещё сказано "поднимать IMPI на ифейсе, который смотрит наружу".Достаточно гонять во внешку траффик через какой либо интерфейс которым IPMI потенциально может пользоваться и IPMI потенциально может получить там magic packet который позволит немного порулить/пароли умыкнуть/etc.
> Чота я не догоняю - в статье говорится, что IPMI доступен через
> "public interface". Это чо - оно шарит ethernet-дырку с основной системойМожет и шарить, может на отдельной сидеть (если физически есть). В последнем случае может быть и конфигурируемо при условии, что дорожки разведены к разным портам.
> сканит трафик и выцепляет для себя запросы на порт 49152?
В случае шаринга для начала должно забирать то, что на его mac -- вот только в случае IPMI 1.5 с завидной регулярностью BMC начинал молча жрать трафик хоста (в 2.0 поправили, по крайней мере в том виде).
> разведены к разным портам.IIRC у некоторых чипсетов интеля side channel для BMC - фича. И ничего вы с этим не сделаете, кроме неиспользования такой сетевки совсем ни для каких целей.
> В случае шаринга для начала должно забирать то, что на его mac
Никому никто ничего не должен. Откровенно бэкдорная технология. А вот и первые ласточки прилетели.
Что-то не сработало (
On 11/7/2013, after reading a couple articles on the problems in IPMI by Rapid7’s HD Moore (linked at the end), I discovered that Supermicro had created the password file PSBlock in plain text and left it open to the world on port 49152.
У меня сработало (
SMASH недоступен чтоб дырку приткнуть.
И фирмваря нового у супермикры нету.
Зопа, зопа и исчо раз зопа.
Один выход - писать админу чтоб шланги повытаскивал до лучших времен.
У меня с десяток таких, половину всех супернекро. Апдейтов нет.
> У меня с десяток таких, половину всех супернекро. Апдейтов нет.Хочешь потестировать новую версию бэкдора? Обломись, у АНБ нет публичного багтрекера.
Блджя.... Как же так? :(
покупайте лицензионный софт, его пишут настоящие профессионалы!
Крупные вендоры это филиалы АНБ, государство им выделает поддержку.
> государство им выделает поддержку.А я то думал что это лошпеды покупающие брендовое оборудование неплохо справляются с поддержкой поимения себя любимых.
> покупайте лицензионный софт, его пишут настоящие профессионалы!Его продают настоящие профессионалы. Пишут те же балбесы.
> Его продают настоящие профессионалы. Пишут те же балбесы.Да нет, бэкдор сделан вполне профессионально. Пароли в виде текста? Отдаваемые get-запросом? Диверсия удалась!
> покупайте лицензионный софт, его пишут настоящие профессионалы!Проприетара такая, да :).
http://fish2.com/ipmi/
Гм. У меня в ближайшем supermicro ipmi на порту 49152 не слушает..
nmap показал открытыми только 22 и 443.
У меня некоторые на 49154 висят.
> nmap показал открытыми только 22 и 443.А попробуй этот запрос на 443? Хотя, может быть, повезло и модуль бэкдора забыли включить. Или не повезло и модуль бэкдора неизвестной науке системы.
$ openssl s_client -connect ipmi-lime.asgard:443
CONNECTED(00000003)
...
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS NOT supported
...
GET /PSBlockHTTP/1.1 302 Redirect
Server: GoAhead-Webs
Date: Sat Jun 21 17:40:10 2014
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
P3P: CP="NON DSP CURa OUR NOR UNI"
Location: https://192.168.2.12/auth.asp?redirect=yes<html><head></head><body>
Moved to this <a [removed url]">location</a>.
<!-- response_code_begin ERIC_RESPONSE_OK response_code_end response_msg_begin response_msg_end --></body></html>read:errno=0
Фиг знает, как реальный клиент работает - зашел по https сейчас на веб-интерфейс, открыл java-клиент kvm, посмотрел - он соединен только с портом 443.
Это далеко не новый сервер, возможно, бэкдор еще не включили. Хотя прошивка IPMI последняя стоит.
АНБ вашу модельную серию не заказывали для фирм
Вот это кошерно, да.
FW 03.19 - навскидку, данной дыры нет.
http://supermicro.com/support/bios/firmware0.aspx
"Unpatched BMCs in Supermicro motherboards contain a binary file..." - сильно расплывчато.