The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от opennews (??) on 31-Июл-13, 11:36 
Компьютерная команда экстренной готовности США (US-CERT) опубликовала (https://www.us-cert.gov/ncas/alerts/TA13-207A) предупреждение о проблемах с безопасностью серверных систем, поддерживающих интерфейс IPMI (Intelligent Platform Management Interface). IPMI представляет собой доступный по сети независимый интерфейс для мониторинга и управления оборудованием, позволяющий отслеживать состояние датчиков, управлять питанием и выполнять другие операции с оборудованием.

Доступ к IPMI открывает злоумышленнику средства для низкоуровневого доступа к серверу, в обход средств операционной системы. В ситуации ненадлежащей настройки IPMI, большое число серверных систем, имеющих выход в глобальную Сеть, оказались подвержены атаке. Получив доступ к IPMI атакующие получают возможность управлять прошивками и дисками, могут удалённо загрузить на сервере собственную ОС по сети, организовать работу консоли удалённого доступа для атаки на базовую ОС и изменения настроек BIOS.


Проблема усугубляется тем, что многие конфигурации IPMI доступны без пароля или используют пароль по умолчанию. Из проблем также отмечается хранение паролей в открытом виде, отсутствие шифрования некоторых видов трафика IPMI, утечка одного пароля даёт доступ ко всем серверам группы IPMI. Всем администраторам оборудования, оснащённого контроллерами BMC и поддерживающего IPMI, предлагается убедиться в надлежащей настройке своих систем. Рекомендуется установить недёжный пароль, включить шифрование доступа и выполнить привязку  IPMI к отдельному внутреннему интранет-адресу, желательно выделенному в отдельный сегмент локальной сети. Из серверных систем, подверженных проблемам отмечены серверы на базе контроллеров HP Integrated Lights Out (iLO), Dell DRAC и IBM Remote Supervisor Adapter.

Дополнительно можно отметить, что компания HP подтвердила (http://www.theregister.co.uk/2013/07/11/hp_prepping_fix_for_.../) утечку параметров инженерного входа, позволяющего организовать удалённый доступ для управления системами хранения HP StoreVirtual. О наличии похожего недокументированного инженерного входа исследователи безопасности также сообщают в продуктах StoreOnce, но эта информация ещё не подтверждена. Бэкдор присутствует в продуктах, начиная с 2009 года, и используется службой поддержки для удалённой диагностики проблем при поступлении запросов от клиентов. В обновлении прошивки, выпущенном (https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDis...) 17 июля, добавлена возможность отключения инженерного входа.


В случае проникновения злоумышленник получает полный root-доступ к используемой на системах хранения операционной системе LeftHand, но не имеет доступа к хранимым данным. Тем не менее, атакующий может инициировать очистку массива или вывести узел хранения из состава кластера. Кроме того, имеется возможность загрузки сертификата для организации доступа к другим системам, управляемым через Systems Insight Manager.

URL: https://www.us-cert.gov/ncas/alerts/TA13-207A
Новость: http://www.opennet.me/opennews/art.shtml?num=37554

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +3 +/
Сообщение от Аноним (??) on 31-Июл-13, 11:36 
Кто вывешивает IPMI в глобальную сеть, сам виноват!
У нас к примеру используется отдельная физическая сетка для мониторинга и управления.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от Аноним (??) on 31-Июл-13, 11:44 
А коммуникации защищены? А мониторите из-под Windows? А у пользователей по сколько розеток на рабочих местах (соединив 2 любые патчем, можно легко положить всю сеть)? И т.д., и т.п.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +1 +/
Сообщение от sanDro (ok) on 31-Июл-13, 13:18 
>> А у пользователей по сколько розеток на рабочих местах (соединив 2 любые патчем, можно легко положить всю сеть)?

Storm control использовать не судьба?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +1 +/
Сообщение от Аноним (??) on 31-Июл-13, 15:04 
STP не для вас?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

39. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от Аноним (??) on 01-Авг-13, 00:39 
stp не панацея. я как то наблюдал фееричный развал сети, хотя stp был включен. но почему то отказывался нормально работать через туеву хучу хабов, спецжелезок и кое-какого оконечного оборудования.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

41. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +1 +/
Сообщение от Аноним (??) on 01-Авг-13, 04:33 
> Кто вывешивает IPMI в глобальную сеть, сам виноват!

Ну да, если ты упал в открытый люк с кипятком - ты сам виноват. Что не отменяет того факта что коммунальщики, которые его открыли и не поставили загородки на время работ - пи...сы :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от alexey email(??) on 31-Июл-13, 11:43 
Не понял в чем новость. В IPMI есть инженерный пароль?
Кто ж, действительно, IPMI внаружу выставляет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  –1 +/
Сообщение от Demo (??) on 31-Июл-13, 12:02 
> Кто ж, действительно, IPMI внаружу выставляет?

Вопрос из серии: "Кто ж, действительно, RDP внаружу выставляет?" или "Кто ж, действительно, SSH внаружу выставляет?"

Что же это за сервис такой, особенный, который не следует (по мнению анонимных аналитиков OpenNet-а) наружу выставлять?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от sanDro (ok) on 31-Июл-13, 13:20 
>> Кто ж, действительно, IPMI внаружу выставляет?
> Вопрос из серии: "Кто ж, действительно, RDP внаружу выставляет?" или "Кто ж,
> действительно, SSH внаружу выставляет?"
> Что же это за сервис такой, особенный, который не следует (по мнению
> анонимных аналитиков OpenNet-а) наружу выставлять?

А какие проблемы с SSH-то? Запрет парольной аутентификации и нестандартный порт никто не отменял.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Смена порта -- это защита 'ни о чём'."  +1 +/
Сообщение от vn971 (ok) on 31-Июл-13, 14:23 
Смена порта -- это защита "ни о чём". Умная взламывалка без малейших усилий определит настоящий SSH. Это можно даже увидеть набрав просто `telnet remoteServer 22` (в качестве гритера будет что-то "типа SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2".
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Смена порта -- это защита 'ни о чём'."  +/
Сообщение от vn971 (ok) on 31-Июл-13, 14:25 
Впрочем, запрет входа по паролю это хороший аргумент.)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Смена порта -- это защита 'ни о чём'."  +1 +/
Сообщение от sanDro (ok) on 31-Июл-13, 14:27 
> Смена порта -- это защита "ни о чём". Умная взламывалка без малейших
> усилий определит настоящий SSH. Это можно даже увидеть набрав просто `telnet
> remoteServer 22` (в качестве гритера будет что-то "типа SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2".

Это срезает тупые сканы, которых подавляющее большинство в инете. Защитой является ассиметрика при аутентификации.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

45. "Смена порта -- это защита 'ни о чём'."  +/
Сообщение от Аноним (??) on 01-Авг-13, 04:42 
> ассиметрика при аутентификации.

И вместо рака будет грыжа. В смысле, каждый уважающий себя автоматический троянец ключи от ssh первым делом прет и раскидывает себя везде где у чудака быд доступ.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

48. "Смена порта -- это защита 'ни о чём'."  –1 +/
Сообщение от sanDro (ok) on 01-Авг-13, 10:12 
>> ассиметрика при аутентификации.
> И вместо рака будет грыжа. В смысле, каждый уважающий себя автоматический троянец
> ключи от ssh первым делом прет и раскидывает себя везде где
> у чудака быд доступ.

Сколько лет работаю, ни разу троянцев не было. Чё я делаю не так? Может я не той осью пользуюсь для работы? Да и веду себя похоже не удобным для троянцев образом.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

33. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от t28 on 31-Июл-13, 22:10 
>> Что же это за сервис такой, особенный, который не следует (по мнению
>> анонимных аналитиков OpenNet-а) наружу выставлять?
> А какие проблемы с SSH-то? Запрет парольной аутентификации и нестандартный порт никто
> не отменял.

Ну так об этом и речь. Перечитай исходное предложение ещё раз.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

42. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  –1 +/
Сообщение от Аноним (??) on 01-Авг-13, 04:34 
> Запрет парольной аутентификации

Правильно! Троянам намного удобнее ключи автоматически пи...ть :).

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от littlesavage email(ok) on 31-Июл-13, 16:36 
IPMI - это обычно отдельный порт на сервере, который втыкается во внутреннюю упраляющую, сеть, либо отдельный влан.

учитывая, что через IPMI действительно можно обновить прошивку, переустановить ос, и т.п., да и вообще качество его реализации у HP, надо быть идиотом чтобы додуматься его к внешней сети подключить.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

21. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 31-Июл-13, 16:37 
> IPMI - это обычно отдельный порт на сервере

Нередко shared, причём на IPMI 1.5 такое любило ещё и чужие пакеты сожрать (на 2.0 вроде не наблюдалось).  Вообще ipmitool lan print [n] полезно поразглядывать.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +1 +/
Сообщение от Аноним email(??) on 31-Июл-13, 18:51 
Это (ipmi c shared) вообще использовать нельзя, то вланы не работают, то с jumbo-фреймами проблемы, то лапы ломит, то хвост отваливается.
Только выделенный порт для IPMI или нахрен такое железо.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

53. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от Zulu on 01-Авг-13, 17:20 
О да!
Как IPMI 1.5 на shared-порту меня радовал блт.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

34. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от t28 on 31-Июл-13, 22:14 
> учитывая, что через IPMI действительно можно обновить прошивку, переустановить
> ос, и т.п.,
> да и вообще качество его реализации у HP, надо быть идиoтом
> чтобы додуматься его к внешней сети подключить.

Может в консерватории чего подправить и не делать таких однозначных, далеко идущих выводов? А то вы тут огульно людей идиoтами обзываете.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

5. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +4 +/
Сообщение от e.slezhuk on 31-Июл-13, 12:06 
Не понял. Они там уязвимость обнаружили, или пришли к выводу что существуют люди вывешивающие IPMI в паблик с дефолтовым паролем?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +2 +/
Сообщение от Аноним (??) on 31-Июл-13, 15:15 
Наверное, АНБ немного о...ело когда какие-нибудь китайцы взломали их через бэкдор-интерфейс, который парни из интеля по идее оставляли для своих, любимых :).
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 31-Июл-13, 15:57 
> Не понял. Они там уязвимость обнаружили, или пришли к выводу что существуют
> люди вывешивающие IPMI в паблик с дефолтовым паролем?

Судя по новости, второе.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

40. "Вот вы тут все такие умные"  +/
Сообщение от Johny on 01-Авг-13, 02:36 
а вам не приходит в голову что бывают люди, арендующие в датацентре ОДНО место под ОДИН сервер.  И что по вашему им делать с iLO ? Арендовать второй юнит под vpn/файрволл под iLO? Или сознательно отключить себе аварийную возможность спасения системы над которой будет утрачен контроль?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

51. "Вот вы тут все такие умные"  +/
Сообщение от Michael Shigorin email(ok) on 01-Авг-13, 16:34 
> а вам не приходит в голову что бывают люди, арендующие в датацентре
> ОДНО место под ОДИН сервер.  И что по вашему им делать с iLO ?

Подсказка/просьба к ДЦшникам: серая сетка, vlan по запросу или сразу статический per client, возможность зайти на узел доступа по ssh либо заказать себе проброс портов для доступа к iKVM.  Тем, у кого не столько серверов, чтоб держать свой свич/маршрутизатор, может быть очень толкабельно.

Ну и про кончину батареек сигналить куда-нить бы, в идеале совместимым с nut образом...

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

6. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  –1 +/
Сообщение от Аноним (??) on 31-Июл-13, 12:23 
А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +3 +/
Сообщение от imprtat (ok) on 31-Июл-13, 12:36 
> А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP.

Пробовал читать сообщение перед отправкой?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +1 +/
Сообщение от Аноним (??) on 31-Июл-13, 12:42 
> А почему не написали что интерфейс такой не функциональный что там даже
> простых функций безопасности например блокировка по IP.

Админы локалхоста такие админы. Ты его в глазки-то видел?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

23. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от Аноним (??) on 31-Июл-13, 17:31 
> А почему не написали что интерфейс такой не функциональный что там даже простых функций безопасности например блокировка по IP.

ты хотя бы одну запятую поставил, хоть где-нибудь, умнее казался.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +1 +/
Сообщение от ОЛОЛО on 31-Июл-13, 13:03 
Одна мжвячная госконтора использует IPMI на активХЭ с белыми адресами. Когда я с ними работал, то использовал для доступа виртуальную машину с вантузом и ыксплорером. БЛДЖАДЪ!!!11
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от Аноним (??) on 31-Июл-13, 15:16 
> и ыксплорером. БЛДЖАДЪ!!!11

ipmi можно и из линуха рулить, софт для этого есть вроде как. Что не отменяет того факта что он сам по себе - бэкдор. Для удобства админов. Ну и хакеров, АНБ и прочая.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

35. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от t28 on 31-Июл-13, 22:17 
> Одна мжвячная госконтора использует IPMI на активХЭ с белыми адресами.

Ну использует. И что?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от Вонни on 31-Июл-13, 15:20 
Тема должна называться, "Эксперты выявили в продукатах HP заплатки для АНБ"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от commiethebeastie (ok) on 31-Июл-13, 18:26 
HP извинилась перед АНБ за доставленные неудобства.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "Проблемы с безопасностью серверов с IPMI. Бэкдор в..."  +/
Сообщение от arisu (ok) on 31-Июл-13, 16:49 
> недёжный пароль

я такого и не выдумаю…

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Проблемы с безопасностью серверов с IPMI. Бэкдор в..."  +/
Сообщение от Аноним (??) on 31-Июл-13, 17:50 
uuidgen
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Проблемы с безопасностью серверов с IPMI. Бэкдор в..."  +/
Сообщение от arisu (ok) on 31-Июл-13, 18:24 
> uuidgen

а он точно «недёжные» пароли генерировать умеет?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

31. "Проблемы с безопасностью серверов с IPMI. Бэкдор в..."  +/
Сообщение от Аноним (??) on 31-Июл-13, 21:08 
так надо самому добавить или поменять пару символов, всяко лучше чем то что обычно придумывают.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

36. "Проблемы с безопасностью серверов с IPMI. Бэкдор в..."  +/
Сообщение от arisu (ok) on 31-Июл-13, 22:37 
> так надо самому добавить или поменять пару символов, всяко лучше чем то
> что обычно придумывают.

но я всё-таки хочу знать, что такое «недёжный».

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

46. "Проблемы с безопасностью серверов с IPMI. Бэкдор в..."  +1 +/
Сообщение от fhfys on 01-Авг-13, 05:45 
> но я всё-таки хочу знать, что такое «недёжный».

Cerfyf[eq,kznm
Vjqyfxfkmybrblbjn
Flvbykjrfk[jcnf
Dct.pthsrjpks


Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

49. "Проблемы с безопасностью серверов с IPMI. Бэкдор в..."  +/
Сообщение от Аноним (??) on 01-Авг-13, 13:54 
Ты читать умеешь? нЕдёжный
                   ^
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

30. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от Аноним (??) on 31-Июл-13, 20:27 
Если пишите новость про бэкдор, то пишите как им пользоваться
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от quux email(??) on 31-Июл-13, 23:14 
man ipmitool
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Проблемы с безопасностью серверов с IPMI. Бэкдор в системах ..."  +/
Сообщение от Михрютка (ok) on 31-Июл-13, 21:44 
> В ситуации ненадлежащей настройки IPMI, большое
> число серверных систем, имеющих выход в глобальную Сеть, оказались подвержены атаке.

кстати да. я одного такого знаю.

троекратно предупредил, но он упорствовал.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру