czwartek, 11 lipca 2013

W protokole IPMI wykryto nowe lukij

Uwaga administratorzy - jeden z amerykańskich ekspertów do spraw bezpieczeństwa odkrył w oprogramowaniu używanym do zdalnego monitorowania serwerów i zarządzania nimi szereg nowych, bardzo niebezpiecznych luk. Znajdują się one w protokole IPMI (Intelligent Platform Management), który komunikuje się mikrokontrolerem BMC (Baseboard Management Controller) zagnieżdżanym na płytach głównych serwerów.

BMC odbiera dane od czujników rozmieszczonych w różnych częściach serwera Są to takie informacje jak temperatura, stan pracy wentylatorów i zasilaczy, stan systemu operacyjnego i inne parametry. Dysponując takimi danymi, administrator może zdalnie zarządzać serwerami pracującymi w centrum danych. 

Nowe luki (jest ich ogółem sześć) zostały zidentyfikowane przez Dana Farmera w trakcie badań prowadzanych w ramach grantu pozyskanego od organizacji DARPA (Defense Department DARPA). Farmer informuje, że zagrażają one bezpieczeństwu systemu IT, ponieważ haker może dzięki nim przejmować kontrolę nad serwerem i wykonywać operacje, które są zastrzeżone dla administratora. Może więc rekonfigurować serwer, kopiować dowolne dane i wymazywać je z dysków. 

Jedna z najbardziej niebezpiecznych luk znajduje się w oprogramowaniu IPMI 2.0, a konkretnie w programie szyfrującym dane przy użyciu metody "Cipher 0". Wykorzystując tę lukę haker może się włamać do systemu z poziomu standardowego interfejsu zarządzania typu "command-line", który towarzyszy oprogramowaniu IPMI 

Kolejna krytyczna luka została zidentyfikowana w wersji 2.0 oprogramowania IPMI. Haker może dzięki niej przejmować hasła używane do logowania się do serwera, atakując go wcześniej przy użyciu algorytmu "{brute force" (tzw. atak siłowy). Szacuje się, że co najmniej 100 tys. serwerów obsługujących protokół IPMI jest obecnie podatnych na takie ataki. 

Mniej groźne, ale równie niebezpieczne luki odkryto w wersjach 1.5 oraz 2.0 protokołu IPMI. Jedna z nich wykorzystuje fakt, że hasła IPMI są przechowywane na kontrolerze BMC w postaci niezaszyfrowanej. Istnienie tej luki potwierdziły już firmy Dell i Supermicro. Więcej informacji na temat luk można znaleźć w dokumencie noszącym znaczący tytuł IPMI: Freight Train to Hell (IPMI: pociąg do piekła). 

Firmy, które zarządzają serwerami zdalnie przez Internet przy użyciu protokołu IPMI, powinni według analityków bezpieczeństwa zastanowić się, czy nie wprowadzić do centrum danych dodatkowych zabezpieczeń. Może to być np. dodatkowa bramka zainstalowana na wejściu do systemu IT (wymagająca dodatkowego logowania) czy dwuskładnikowe uwierzytelnianie. 

Można też wydzielić ruch IPMI (tak aby był obsługiwany przez oddzielny port) i następnie dokładnie monitorować go. Jednak tanie serwery klasy "low-end" zawierają często tylko jeden port, przez który przechodzi cały ruch wymieniany z Internetem. Co w takim przypadku robić? Można wtedy zbudować wirtualną sieć LAN i tak ją skonfigurować, aby obsługiwała ona wyłącznie pakiety IPMI. 

Eksperci informują: zasadniczo nie ma jednego prostego rozwiązania, które uchroniłoby nas na 100 procent przed atakami wykorzystującymi luki znajdujące się w protokole IPMI. Radzą więc administratorom, aby sprawdzali stan bezpieczeństwa serwerów np. przy pomocy oprogramowania Metasploit. Powinno ono wskazać, gdzie w serwerze znajdują się słabe punkty. Znając je, administrator może podjąć działania, dzięki którym system bezpieczeństwa serwera będzie pracować bardziej niezawodnie. 

źródło:
W protokole IPMI wykryto nowe luki - Networld.pl

Brak komentarzy: