22:09
22/6/2014

Jeśli twój serwer ma płytę główną produkcji Supermicro, to jak najszybciej sprawdź, czy na porcie 49152 nie zobaczysz swojego hasła. Jeśli tak, pora na szybki upgrade.

supermicro-logo.preview

Hasło administratora widoczne na porcie 49152

Za ten błąd odpowiada BMC (baseboard management controller), moduł na płycie głównej pozwalający administratorom poprzez protokół IPMI monitorować stan fizyczny serwerów (m.in. temperaturę, wydajność dysku i pamięci, prędkość wiatraczków) i zarządzać nimi (np. restartować, adresować interfejs sieciowy, zmieniać ustawienia BIOS-u). BMC przechowuje login i hasło administratora czystym tekstem — i co gorsza, aby je wydobyć wystarczy zwykłe połączenie na port 49152:

nc 49152
GET /PSBlock

Serwer musi jednak posiadać włączoną obsługę UPnP i IPMI na publicznie dostępnym interfejsie. Jeśli wierzyć wynikom wyszukiwarki Shodan, to wciąż ok. 32 000 adresów IP jest podatnych na ten atak (z 9 867 259, które w ogóle obsługują IPMI na interfejsie od strony internetu). Zachary Wikholm przeprowadził analizę ich haseł i poinformował, że aż 10% z nich korzysta z …domyślnych danych logowania.

IPMI nie zawsze działa na dedykowanym, osobnym porcie ethernetowym, więc niektórzy mogą nawet nie wiedzieć, że wspierają tego typu rozwiązanie na swoim sprzęcie...

IPMI nie zawsze działa na dedykowanym, osobnym porcie ethernetowym, więc niektórzy mogą nawet nie wiedzieć, że udostępniają tę usługę na swoim sprzęcie…

To nie jest hasło roota, ale…

Hasło do BMC nie jest hasłem roota, czy też administratora systemu opracyjnego pod kontrolą którego pracuje serwer obsługujący IPMI (no chyba, że administrator postanowił w obu miejscach ustawić to samo hasło…) — wciąż jednak dostęp do serwera po IPMI pozwala na wiele więcej niż tylko zwykły odczyt parametrów pracy serwera.

Moduły BMC w maszynach Della (DRAC), Cisco UCS (CIMC), czy HP (iLO) umożliwiają np. skorzystanie z interfejsu webowego który z kolei odpala aplet Javy dający konsolowy dostęp do systemu operacyjnego. Maszynę można też przez BMC zabootować z własnego ISO (a stąd już prosta droga do “zrootowania” maszyny).

DELL DRAC IPMI boot

DELL DRAC IPMI boot

Dodatkowo, atakujący może po prostu przeflashować samą kartę IPMI i schować w niej rootkita, którzy przetrwa reinstalację systemu operacyjnego na serwerze, na co zwraca uwagę HD Moore w obszernym poradniku “hackowania” IPMI przeznaczonym dla pentesterów. (Na marginesie, dostępne są też świetne narzędzia do interakcji z firmwarem kart IPMI).

Problem z IPMI znany od kilku miesięcy

Co ciekawe, patch jest już dostępny, ponieważ po raz pierwszy ten problem zauważono i obszernie zanalizowano 10 miesięcy temu. Patch wymaga jednak przeflashowania płyty głównej, co może być dość ciężkim zadaniem dla serwerów działających na produkcji i wymagających ciągłej pracy — i zapewne dlatego wciąż dziesiątki tysięcy serwerów radośnie dzielą się ze światem swoim hasłem administratora IPMI.

Zamiast udostępniać IPMI poprzez internet, można rozważyć użycie dedykowanego portu sieciowego na którym działa dedykowany vlan, odpowiednio firewallowany lub dostępny poprzez VPN.

Przeczytaj także:

26 komentarzy

Dodaj komentarz
  1. Niektóre z routerów na chipie broadcom, także mają ten port włączony, jednak “magiczne zaklęcia” są trochę inne i usługa służy tylko do monitorowania.

  2. Aż z ciekawości muszę sprawdzić czy na szkolnym serwerze zostawiłem włączone IPMI, mieliśmy tam serwerek z taką płytą gł ;) U każdego producenta technologie do nadzorowania nazywają się różnie, ja np. w swoim Thinkpadzie x201 z Intel vPro mam coś takiego jak Intel AMT. Dzięki temu nawet na wyłączonym laptopie mam po ethernecie dostęp do panelu z którego mogę go np. włączyć i następnie po VNC uzyskać z nim połączenie niezależnie od tego jaki OS tam siedzi, bo wszystko jest nadzorowane sprzętowo, można nawet wejść do biosu. Z jednej strony takie rozwiązania niesamowicie ułatwiają życie adminom, ale z drugiej strony piernik wie jakie tam backdoory siedzą. Swoją drogą muszę sprawdzić jakie porty ma otwarte mój laptop kiedy jest wyłączony :D (połączenie ethernet jest aktywne)

  3. Jeśli tak, pora na szybki upgrade.

    Jeśli tak, pora na szybką zmianę producenta płyt głównych.

    FTFY

    • IPMI jest chujowe chyba u każdego producenta, temu się wiesza, u innego wysyła garbage na serial (raz tak mi serwer dostał losowy SysRQ…), jeszcze inny ma bugi, albo niespodzianki jak wyżej.

      Najlepiej trzymać w oddzielnym VLANie oraz na dedykowanej sieciówce “na wszelki”

  4. Aj co za bzdury.

    Patch wymaga jednak przeflashowania płyty głównej..
    Wystarczy upgrade IPMI, które można zrobić w locie.

    • mozesz opisac jak ?? podziel sie wiedza bo ja nie potrafie tego w locie zrobic

    • wiktor to bardzo proste, wyjmujesz serwer, wsiadasz z nim do samolotu startujesz i robisz update

    • Przez interfejs www BMC a potem cold reboot i jest nowa wersja BMC bez restartu samego serwera.
      Można nawet z poziomu OS za pomocą ipmitool.

  5. Jakby ktoś chciał sprawdzić czy jego płyta słucha na porcie 49152 i chce to wyłączyć (przynajmniej chwilowo) to:
    zalogować się po ssh do IPMI, następnie sprawdzić czy słucha: netstat -a -n |grep 49152, jeżeli tak to zabić wszystkie procesy które nasłuchują: killall -9 upnp_dev.

    • Uwaga, wrócą po restarcie ;)

    • Dopisze się do bash’a :P

    • A po tym upgrade będzie reboot całej maszyny czy tylko ipmi?

  6. Wersja mobilna tego postu z AdWordsami scamowymi…oj nieładnie niebezpiecznk.
    http://goo.gl/gmP2yU

    • Nieładnie raczej dla Google. Złapałeś URL, tylko po tym możemy wyciąć takie kwiatki.

  7. Znow “blad” pozwalajacy na wyciagniecie najpoufniejszych danych?

    Ciekawe kiedy redakcja Niebezpiecznika wreszcie dorosnie i zacznie nazywac rzeczy po imieniu jak ostatnie “problemy” superbezpiecznego Truecrypta (przy czym sie upierali), “przypadkowe” powiazania agentur USA z bitcoinami, czy jak powyzsze sprzetowe “bledy” pozwalajace “przypadkowo” na wyplyniecie niczego innego, ale wlasnie hasel.

    Czas dorosnac, chlopaki, juz czas najwyzszy.

  8. >>Można nawet z poziomu OS za pomocą ipmitool.

    Taa, może zademonstrujesz? :)

    • Aktualnego hasła przez ipmitool nie uzyskasz, to fakt. Ale bezproblemowo je zmienisz lub dodasz nowego użytkownika IPMI bez jakiejkolwiek autoryzacji kontrolera IPMI.

  9. A jakie jest hasło dla NSA?

  10. Moje są chyba załatane, bo nic nie odpowiadają, pomimo że mają włączone opcje w BIOS-ach. Słuchać – słuchają, ale ignorują zaczepki :)

  11. nie piszcie prosze “z 9 867 259, które w ogóle obsługują IPMI na interfejsie od strony internetu” bo artykule źródłowym pisze jasno że to jest port konkretnego demona UPnP a nie samego IPMI

  12. Czy autor widzi różnicę pomiędzy wentylatorem a wiatraczkiem? Wiatrak to stoi na polu i prąd produkuje a wentylator chłodzi np. komputer. :-)

    • A takie urządzenie co stoi sobie na biurku i robi wiatr to jak się nazywa?

    • “A takie urządzenie co stoi sobie na biurku i robi wiatr to jak się nazywa?”

      Elektrownia wiatrowa o ujemnym współczynniku oddawanej mocy? ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.