Sécuriser IPMI (Intelligent Platform Management Interface)

Des vulnérabilités critiques affectant Supermicro IPMI BMC ont été publiées début 2014. Les interfaces IPMI vulnérables accessibles publiquement sur Internet représentent un risque élevé pour les entreprises. Un pirate ou une personne non autorisée peut accéder à la console d'une interface IPMI et en exploiter les fonctionnalités (redémarrer votre serveur, le réinstaller, modifier la configuration). Dans certains cas, le système embarqué peut être exploité pour exécuter des logiciels malveillants.


Comment vérifier si votre interface IPMI est vulnérable ?

Utilisez la commande suivante à partir d'une machine distante, pour voir si l'interface IPMI est exposée:
sudo nmap -sU --script ipmi-version -p 623 <ip-du-service>

Example de résutat:
PORT STATE SERVICE
623/udp open asf-rmcp
| ipmi-version:
| Version:
| IPMI-2.0
| UserAuth: md5, md2
| PassAuth: auth_user, non_null_user
|_ Level: 1.5, 2.0

Si les commandes renvoient un message de "time-out", le service est peut être déjà filtré.


Résolution:

Afin de sécuriser votre IPMI et votre infrastructure informatique, veuillez appliquer une des solutions suivantes:

1. Déconnectez le périphérique IPMI d'Internet (si vous n'en avez pas besoin).
2. Restreindre l'accès aux périphériques IPMI pour les rendre joignables uniquement via VPN (ou à partir d'un réseau de confiance utilisant des adresses IP privées).

Si vous devez garder votre IPMI accessible publiquement, voici quelques mesures de sécurité à prendre:

  • Implémentez les meilleures pratiques de sécurité IPMI (Activer le contrôle d'adresse IP, Gérer vos utilisateurs, ...) via votre interface Web IPMI.
  • Remplacez l'utilisateur administrateur ADMIN / admin par défaut par un nouvel utilisateur administrateur.
  • Supprimez les utilisateurs qui ne sont plus actifs et désactivez les utilisateurs par défaut lorsque cela est possible.
  • Gardez votre logiciel IPMI et votre micrologiciel à jour et réinitialisez TOUS les mots de passe des comptes IPMI.
  • Mettre en œuvre les meilleures pratiques pour sécuriser les périphériques IPMI disponibles ici (PDF en anglais): http://fish2.com/ipmi/bp.pdf


Références externes:
http://blog.cari.net/carisirt-yet-another-bmc-vulnerability-and-some-added-extras/
https://securityledger.com/2014/08/was-an-ipmi-flaw-behind-300gbps-ddos-attack-computerworlduk-com/
http://fish2.com/ipmi/
http://fish2.com/ipmi/river.pdf
http://www.supermicro.com/products/nfo/files/IPMI/CVE_Update.pdf
http://threatpost.com/seven-ipmi-firmware-zero-days-disclosed
http://fish2.com/ipmi/remote-pw-cracking.html
http://www.cisco.com/web/about/security/intelligence/IPMI_security.html
https://www.us-cert.gov/ncas/alerts/TA13-207A
https://airbus-seclab.github.io/ilo/SSTIC2018-Article-subverting_your_server_through_its_bmc_the_hpe_ilo4_case-gazet_perigaud_czarny.pdf

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk