Protegiendo los dispositivos IPMI (Intelligent Platform Management Interface)

Varios vulnerabilidades críticas de los IPMI Supermicro BMC fueron publicadas a principios de 2014. Los dispositivos IPMI vulnerables que son accesibles desde Internet representan un alto riesgo para las empresas. Un pirata informático o una persona no autorizada puede acceder a la consola de un dispositivo IPMI y hacer lo que quiera (reiniciar el servidor, reinstalarlo, cambiar la configuración). En algunos casos, el sistema integrado puede ser explotado para ejecutar código malicioso.


¿Cómo verificar si su dispositivo es vulnerable?

Utilice el siguiente comando desde una máquina remota, como root, para obtener la información del dispositivo IPMI:
sudo nmap -sU --script ipmi-version -p 623 <dirección-IP-del-dispositivo>

Ejemplo de salida:
PORT STATE SERVICE
623/udp open asf-rmcp
| ipmi-version:
| Version:
| IPMI-2.0
| UserAuth: md5, md2
| PassAuth: auth_user, non_null_user
|_ Level: 1.5, 2.0

Si el comando devuelve un tiempo de respuesta agotado (timeout), es posible que el servicio se ya se encuentre filtrado.


Resolución :

Para proteger su IPMI y su infraestructura de TI, favor aplique las siguientes soluciones:

1. Desconecte el dispositivo IPMI de Internet (si no lo necesita en absoluto).
2. Haga que los dispositivos IPMI sean accesibles solo a través de una VPN (o desde una red interna usando direcciones IP privadas).

Si Ud debe mantener su IPMI accesible públicamente, estas son algunas medidas de seguridad que debe tomar:

  • Implemente las mejores prácticas de seguridad para el IPMI (Activar el control de dirección IP, administrar los usuarios, etc.) vía su interfaz web IPMI.
  • Reemplace el usuario administrador predeterminado de ADMIN / admin por un nuevo usuario administrador.
  • Elimine los usuarios que ya no estén activos y desactive los usuarios predeterminados cuando sea posible.
  • Mantenga actualizado el software y firmware de su IPMI y restablezca todas las contraseñas de las cuentas del IPMI.
  • Implemente las mejores prácticas para proteger los dispositivos IPMI disponibles. Mas info aquí (PDF en inglés): http://fish2.com/ipmi/bp.pdf


References:
https://www.supermicro.com/products/nfo/files/IPMI/Best_Practices_BMC_Security.pdf
http://blog.cari.net/carisirt-yet-another-bmc-vulnerability-and-some-added-extras/
https://securityledger.com/2014/08/was-an-ipmi-flaw-behind-300gbps-ddos-attack-computerworlduk-com/
http://fish2.com/ipmi/
http://fish2.com/ipmi/river.pdf
http://www.supermicro.com/products/nfo/files/IPMI/CVE_Update.pdf
http://threatpost.com/seven-ipmi-firmware-zero-days-disclosed
http://fish2.com/ipmi/remote-pw-cracking.html
http://www.cisco.com/web/about/security/intelligence/IPMI_security.html
https://www.us-cert.gov/ncas/alerts/TA13-207A
https://airbus-seclab.github.io/ilo/SSTIC2018-Article-subverting_your_server_through_its_bmc_the_hpe_ilo4_case-gazet_perigaud_czarny.pdf

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk