| |
| |
| 3.17, абыр (ok), 12:58, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > а теперь предположи, что у тебя дедик на хетцнере.
И что ?
| | |
| |
| 4.18, Клыкастый (ok), 13:10, 20/06/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
 у тебя например нет привычки IPMI белым адресом снабжать, а у людей вишь, проблемы.
| | |
| |
| 5.20, Аноним (-), 13:40, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> вишь, проблемы.
Не, блин, бэкдор в менеджмент интерфейсе - не проблема. Так, шутка юмора от NSA.
| | |
| |
| 6.23, Клыкастый (ok), 14:33, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> вишь, проблемы.
> Не, блин, бэкдор в менеджмент интерфейсе - не проблема. Так, шутка юмора
> от NSA.
- Ну, ужас. Но уж не "ужас-ужас-ужас!!!"...
(с) анекдот
| | |
| |
| 7.24, Аноним (-), 14:36, 20/06/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
Когда производитель не стесняется всовывать настолько откровенный бэкдор в фирмвару - это таки "ужас-ужас-ужас!!!", ибо кто знает чего они еще там впихнули и при каких условиях это активируется.
| | |
| |
| |
| 9.36, Аноним (-), 15:04, 20/06/2014 [^] [^^] [^^^] [ответить] | +1 +/– | Вот так и оставим Без полных исходничков грош цена заявлениям любых производите... текст свёрнут, показать | | |
| |
| |
| 11.47, Аноним (-), 17:03, 20/06/2014 [^] [^^] [^^^] [ответить] | –2 +/– | Во первых, их квалификация как правило оставляет желать И их выводам - грош цен... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 2.22, Нанобот (ok), 14:08, 20/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 нефиг выпускать недоВМС, который в интернет выставлять опасно без десяти внешних защит
| | |
| |
| 3.34, Аноним (-), 14:54, 20/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты не понял, чувак. Это не недо-BMC. Это вполне себе полноценный и успешный бэкдор. Вполне работоспособный, как видишь.
| | |
|
|
| 1.2, Аноним (-), 10:34, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
> выявлена уязвимость, позволяющая злоумышленнику получить доступ к паролям
> входа в управляющий интерфейс.
Это не баг, это фича. Придется теперь Supermicro новые инженерные входы для парней из АНБ придумывать. А то спалили конторку...
> 31964 серверов, подверженных данной проблеме, при этом на 3296 (10%) из этих
> систем применялись пароли, заданные по умолчанию
Так вот ты какой, бесплатный хостинг...
| | |
| |
| |
| 3.7, YetAnotherOnanym (ok), 11:55, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Не знаю как у нас, но у буржуев если ты заходишь на чужую систему через общедоступный сервис, неважно какой, и тебе не выдаётся предупреждение, что это только для authorized personnel, то никакой ответственности тебе не будет. Потому что общедоступный сервис.
| | |
| 3.11, Аноним (-), 12:07, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Да, года 2-3 условно заплатите, и всё.
Если поймают. Как известно, "не умеешь - не берись". Настоящие блекхэты вообще пустят автоматического червяка, который сам сканит и сам проламывается. А кто там этим ботнетом рулит - ищи его свищи. Некоторых, конечно, находят, но судя по количеству автоматической живности - автоматическая живность побеждает с большим отрывом.
| | |
|
|
| 1.6, YetAnotherOnanym (ok), 11:46, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Чота я не догоняю - в статье говорится, что IPMI доступен через "public interface". Это чо - оно шарит ethernet-дырку с основной системой, сканит трафик и выцепляет для себя запросы на порт 49152?
| | |
| |
| 2.8, A.Stahl (ok), 12:04, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >сканит трафик и выцепляет для себя запросы
Ну да -- фасоль в один мешок (АНБ), горох в другой (какая-то рекламно-статистическая конторка), а пшеницу -- так уж и быть -- пользователю....
| | |
| |
| 3.10, DeerFriend (?), 12:05, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>сканит трафик и выцепляет для себя запросы
> Ну да -- фасоль в один мешок (АНБ), горох в другой (какая-то
> рекламно-статистическая конторка), а пшеницу -- так уж и быть -- пользователю....
Нет, ему нужно отдельный IP прописывать.
| | |
| |
| 4.12, Аноним (-), 12:09, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Нет, ему нужно отдельный IP прописывать.
А 32 битный айпишник перебирается с гигабита за считанные часы. Так что если он висит в интернет - поздравляю, вы попали.
| | |
| |
| 5.14, Аноним (-), 12:40, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
То же самое можно сказать о любом встраиваемом девайсе с индусской шайтан-прошивкой. Интранет, доступный только с VPN'а и разбиение сети на VLAN'ы - наше все.
| | |
| |
| 6.15, Аноним (-), 12:45, 20/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Поэтому она первым делом заменяется на openwrt. А теперь попробуй так с этим Backdoor Management Controller'ом...
| | |
| |
| |
| 8.19, Аноним (-), 13:39, 20/06/2014 [^] [^^] [^^^] [ответить] | +/– | Куда ты VLAN будешь делать В intranet Который создан на основе подобного протр... текст свёрнут, показать | | |
| |
| |
| 10.31, Аноним (-), 14:44, 20/06/2014 [^] [^^] [^^^] [ответить] | +4 +/– | Данные вопросы в новости про откровенный БЭКДОР от производителя - выглядят неск... текст свёрнут, показать | | |
|
|
| 8.27, Аноним (-), 14:39, 20/06/2014 [^] [^^] [^^^] [ответить] | +/– | А с чего вы взяли что этот кусок бэкдора ведет себя так как вы ожидаете и соблюд... текст свёрнут, показать | | |
| |
| 9.30, абыр (ok), 14:43, 20/06/2014 [^] [^^] [^^^] [ответить] | +/– | Да-да оно силой мысли перекофигурирует порт свитча в который включено ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 2.9, DeerFriend (?), 12:04, 20/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это в настройках настраивается.
Можно шарить ipmi в lan1 дырку (отдельный влан, или без вланов, но с отдельным IP адресом), а можно только в выделенный порт.
По умолчанию шарится и в lan1 и в отдельный порт. Но без настройки IP адреса в биосе, работать не будет.
| | |
| |
| 3.26, YetAnotherOnanym (ok), 14:38, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Понятно. То есть нет обстоятельств, неизбежно вынуждающих назначать на используемый ipmi интерфейс доступный извне IP-адрес.
| | |
| |
| 4.28, Аноним (-), 14:42, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> интерфейс доступный извне IP-адрес.
А с чего ты вообще взял что этот бэкдор на 100% учитывает тот шит который ты ему в сетапе указал? Можно шарить? Можно. И если ты используешь тот порт - тебе остается только на слово поверить что фирмвара, честное пионepское, не будет там слушать. Насколько оно там по факту так и будет - отдельный такой вопрос. А чего помешает тихой сапой смотреть что валится на интерфейс, ожидая magic packet? Ну раз magic URL можно сделать - можно и много чего иного.
| | |
| |
| 5.35, YetAnotherOnanym (ok), 15:02, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Фирмвара может слушать и в том случае, если IMPI настроен на использование другой ethernet-дырки или даже плата вообще не имеет IPMI (для владельца). Но это не значит, что надо оставлять дефолтный пароль или поднимать IMPI на ифейсе, который смотрит наружу.
| | |
| |
| 6.39, Аноним (-), 15:12, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Фирмвара может слушать и в том случае, если IMPI настроен на использование
> другой ethernet-дырки
Грубо говоря, можешь с чистой совестью считать что эти настройки - фуфло. А какие основания верить производителю бэкдоров?
> Но это не значит, что надо оставлять дефолтный пароль
Хренли толку со смены пароля, если новый пароль узнается одним HTTP GET запросом? Хотя блекхатам пароль в коллекцию пригодится - вдруг окажется что админ лох и использует такой же пароль где-то еще. Ну там рутовый пароль например. Или мыльник какой.
| | |
| |
| 7.53, YetAnotherOnanym (ok), 18:31, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> новый пароль узнается одним HTTP GET запросом
Вообще-то, там было ещё сказано "поднимать IMPI на ифейсе, который смотрит наружу". Без этого использовать из Интернета описанный в новости бэкдор не получится.
| | |
| |
| 8.66, Аноним (-), 00:58, 21/06/2014 [^] [^^] [^^^] [ответить] | +/– | Достаточно гонять во внешку траффик через какой либо интерфейс которым IPMI поте... текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.59, Michael Shigorin (ok), 20:43, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > Чота я не догоняю - в статье говорится, что IPMI доступен через
> "public interface". Это чо - оно шарит ethernet-дырку с основной системой
Может и шарить, может на отдельной сидеть (если физически есть). В последнем случае может быть и конфигурируемо при условии, что дорожки разведены к разным портам.
> сканит трафик и выцепляет для себя запросы на порт 49152?
В случае шаринга для начала должно забирать то, что на его mac -- вот только в случае IPMI 1.5 с завидной регулярностью BMC начинал молча жрать трафик хоста (в 2.0 поправили, по крайней мере в том виде).
| | |
| |
| 3.69, Аноним (-), 02:40, 21/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> разведены к разным портам.
IIRC у некоторых чипсетов интеля side channel для BMC - фича. И ничего вы с этим не сделаете, кроме неиспользования такой сетевки совсем ни для каких целей.
> В случае шаринга для начала должно забирать то, что на его mac
Никому никто ничего не должен. Откровенно бэкдорная технология. А вот и первые ласточки прилетели.
| | |
|
|
| |
| 2.40, Аноним (-), 15:25, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
On 11/7/2013, after reading a couple articles on the problems in IPMI by Rapid7’s HD Moore (linked at the end), I discovered that Supermicro had created the password file PSBlock in plain text and left it open to the world on port 49152.
| | |
| 2.41, Anonymus (?), 15:42, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
У меня сработало (
SMASH недоступен чтоб дырку приткнуть.
И фирмваря нового у супермикры нету.
Зопа, зопа и исчо раз зопа.
Один выход - писать админу чтоб шланги повытаскивал до лучших времен.
| | |
| |
| |
| 4.52, Аноним (-), 17:15, 20/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> У меня с десяток таких, половину всех супернекро. Апдейтов нет.
Хочешь потестировать новую версию бэкдора? Обломись, у АНБ нет публичного багтрекера.
| | |
|
|
|
| |
| 2.44, Аноним (-), 16:36, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Крупные вендоры это филиалы АНБ, государство им выделает поддержку.
| | |
| |
| 3.49, Аноним (-), 17:11, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> государство им выделает поддержку.
А я то думал что это лошпеды покупающие брендовое оборудование неплохо справляются с поддержкой поимения себя любимых.
| | |
|
| 2.46, Аноним (-), 16:45, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> покупайте лицензионный софт, его пишут настоящие профессионалы!
Его продают настоящие профессионалы. Пишут те же балбесы.
| | |
| |
| 3.50, Аноним (-), 17:12, 20/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Его продают настоящие профессионалы. Пишут те же балбесы.
Да нет, бэкдор сделан вполне профессионально. Пароли в виде текста? Отдаваемые get-запросом? Диверсия удалась!
| | |
|
| 2.51, Аноним (-), 17:13, 20/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> покупайте лицензионный софт, его пишут настоящие профессионалы!
Проприетара такая, да :).
| | |
|
| 1.54, Stax (ok), 18:44, 20/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Гм. У меня в ближайшем supermicro ipmi на порту 49152 не слушает..
nmap показал открытыми только 22 и 443.
| | |
| |
| 2.70, Аноним (-), 03:36, 21/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> nmap показал открытыми только 22 и 443.
А попробуй этот запрос на 443? Хотя, может быть, повезло и модуль бэкдора забыли включить. Или не повезло и модуль бэкдора неизвестной науке системы.
| | |
| |
| 3.73, Stax (ok), 21:49, 21/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
$ openssl s_client -connect ipmi-lime.asgard:443
CONNECTED(00000003)
...
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS NOT supported
...
GET /PSBlock
HTTP/1.1 302 Redirect
Server: GoAhead-Webs
Date: Sat Jun 21 17:40:10 2014
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
P3P: CP="NON DSP CURa OUR NOR UNI"
Location: https://192.168.2.12/auth.asp?redirect=yes
<html><head></head><body>
Moved to this <a [removed url]">location</a>.
<!-- response_code_begin ERIC_RESPONSE_OK response_code_end response_msg_begin response_msg_end --></body></html>
read:errno=0
Фиг знает, как реальный клиент работает - зашел по https сейчас на веб-интерфейс, открыл java-клиент kvm, посмотрел - он соединен только с портом 443.
Это далеко не новый сервер, возможно, бэкдор еще не включили. Хотя прошивка IPMI последняя стоит.
| | |
|
|
|
