Over 20 tusinde HP servere med iLO-grænseflader er frit tilgængeligt i Google

Integrated Lights-Out (iLO) er et serverstyringssystem på lavt niveau, der er beregnet til out-of-band-konfiguration, som er integreret af Hewlett-Packard Enterprise på nogle af deres servere og mange af de meste kendte rackservere på 1-4U.

Udover dens brug til vedligeholdelse bruges det ofte af administratorer til en nødadgang til serveren, når adgang via anden software mislykkes og / eller er utilgængelig. Da disse typer platforme / grænseflader er ret følsomme ud fra et sikkerhedsmæssigt synspunkt, bør adgangen til dem altid begrænses til relevante administratorgrupper, og deres firmware bør altid holdes opdateret.

For omkring en måned siden stødte jeg på en analyse af interessant rootkit, som “gemte sig” i iLO-platformen. Dette gjorde det muligt at interagere med det inficerede system på et meget lavt niveau. Da iLO tilbyder en web-baseret grænseflade og teksten i analysen også lavet en hentydning til flere sårbarheder, der historisk blev opdaget i det, det fik mig til at tænke på mindre sofistikerede angreb, der kan målrette platformen. Hvis fjernangribere var i stand til at få adgang til en iLO, ville de dybest set have fuld kontrol over serveren. Dette ville helt sikkert udgøre et problem på lokale netværk, men ville være meget værre, hvis ILO’s var tilgængelige online, og angribere kan kompromittere dem over internettet.

For at afgøre, om nogen iLOs var “derude”, jeg først kiggede efter et billede af iLO login-side (Google Image søgning efter “ilo login side” returneret masser af relevante resultater) og derefter konstrueret følgende søgestreng, som jeg troede kunne give mig en idé om, hvorvidt Google indekseret sådanne sider.

ilo proliant “local user name” “password”

Til min overraskelse gav denne søgning over 24 tusind resultater.

Efter nogle indledende trial and error, endte jeg med at bruge primært passende favicon hashes [4] for at identificere offentligt eksponerede ILOs. Jeg har formået at identificere 5 forskellige favicons, der blev brugt af forskellige iterationer af iLO (version 2 til den mest aktuelle version 5) i årenes løb, og en ekstra søgestreng, der ville føre til kun iLO version 1 resultater, der returneres af Shodan. Efter at have dækket alle de vigtigste iLO-versioner beregnede jeg MurmurHashes for alle favicons, konstruerede relevante søgestrenge og eliminerede falske positiver, så godt jeg kunne (du kan finde de resulterende søgestrenge nær slutningen af denne artikel). Efter at jeg opsummerede alle resultaterne, kom de til 22.120 offentlige IPs.

Som vi nævnte, har HP Integrated Lights-Out-platformen gennemgået 5 forskellige gentagelser gennem årene (iLO, iLO 2, iLO3, iLO 4 og iLO 5). Og med tiden blev flere sårbarheder identificeret og lappet i hver af dem. Nogle af disse sårbarheder havde ret høje CVSS-scorer, såsom 9.8-klassificerede CVE-2017-12542[7] – en triviel-til-udnyttelse-godkendelse bypass, der ramte iLO 4 før firmware version 2.53

Men de tidligere nævnte Shodan søgninger afslørede et betydeligt antal iLO 4s med (nogle gange meget) lavere FW version numre … Og situationen var temmelig ens for andre sårbarheder så godt.

Samlet set Shodan søgninger, som jeg oprindeligt kørte omkring to uger siden returnerede følgende numre for forskellige iLO iterationer:

iLO 184
iLO 2567
iLO 3, 4 og 5 (det mest almindelige favicon bruges i alle 3 iLO-versioner)21,469

I betragtning af antallet af internet-udsatte iLO grænseflader jeg formåede at finde, hvoraf mange var ved at løbe ud af dato / sårbare versioner af firmware (og hvoraf ingen bør være direkte tilgængelige fra internettet i første omgang, da eksponeringen alene går imod god branchepraksis og indfører unødvendig risiko), har jeg besluttet at lade den internationale CSIRT samfund vide om mine resultater, før jeg offentliggjorde dem her. Omkring to uger tilbage, sendte jeg en e-mail til alle fulde medlem hold af FIRST og TF-CSIRT med beskrivelsen af spørgsmålet og en liste over Shodan “nørder”, at de kan bruge til at kontrollere for udsatte ILOs i deres egne lande.

Det ser ud til, at denne indsats bar i det mindste nogle frugter, da antallet af ILOs opdaget af Shodan er faldet noget i mellemtiden. Antallet af resultater, der returneres af Shodan for de samme søgninger i skrivende stund er som følger.

iLO 183
iLO 2529
iLO 3, 4 og 5 (det mest almindelige favicon bruges i alle 3 iLO-versioner)20,911

Selv om januar ikke er afsluttet endnu, og de data, som Shodan beregner tendenser måske ikke er komplet, et lille fald i antallet af iLOs, hvor de mest almindelige favicon anvendes, kan allerede ses fra trenddiagrammet så godt.

Et andet punkt, som fortjener en omtale, er den geografiske fordeling af identificerede ILOs. Som du måske ser i følgende diagram, der viser 20 lande, hvor det mest almindelige iLO favicon blev opdaget det højeste antal gange, var det største antal identificerede systemer i USA, selvom det ikke var meget højere end i Holland eller Rusland. Selv om det kan se mærkeligt ud at medtage Nederlandene øverst på hitlisten, da det historisk set har været en af Europas datacenterhovedst hovedstæder[9], giver de høje tal bestemt i det mindste en vis mening.

Kontroller dine egne HP Servere

Hvis du vil kontrollere, om dine egne offentlige IP-områder skjuler iLOs, kan du bruge følgende søgestrenge sammen med “net”-operatoren (f.eks.: “http.favicon.hash:958636481 net:192.168.1.0/24”). Den tredje søgning returnerer 4 andre systemer end iLOs globalt i skrivende stund, bør alle andre være falsk-positive-fri):

Du kan se resten af artiklen på kilden med brugsvejledning til at søge på flere måder og sikre dine servere:

Hvis du opdager synlige iLOs i dit offentlige IP-rum, skal du sørge for at sikre dem. Ellers kan det lidt poetiske navn “Lights-Out” få sin bogstavelige betydning for dine servere…

Som minimum ville det helt sikkert være en god start at placere iLO i en speciel VLAN med kontrolleret adgang og kun tillade fjernadgang via en VPN. Men da jeg ønskede at dele nogle mere detaljerede anbefalinger så godt, har jeg nået ud til HP / HPE PSIRT og bad dem om nogle. De svarede med følgende anbefaling:

HPE anbefaler, at kunderne følger de iLO-sikkerhedsretningslinjer, der er offentliggjort på følgende links: – HPE Integrated Lights-Out (iLO) – Implementering af bedste fremgangsmåder for sikkerhed for beskyttelse af iLO Management Interface
https://support.hpe.com/hpesc/public/docDisplay?docId=a00046959en_us&docLocale=en_US
 – HPE iLO 5 Security Technology Brief
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00026171en_us

Kilde: https://isc.sans.edu/handler_list.html#jan-kopriva
Fotokredit: HP.COM

da Danish
X
Scroll til toppen