УЯЗВИМОСТИ HP ILO 3 И 4 И ИХ ПРОФИЛАКТИКА
На протяжении последних 10 лет практически все серверы производства Hewlett Packard используют различные версии решений комплексного удаленного управления (Integrated Lights-Out или iLO). iLO обеспечивает удаленное управление питанием, является основой дистанционной системной консоли, предоставляет доступ к данным системных индикаторов, позволяет записывать образы оптических дисков и т. п. Иными словами, обеспечивает полноценный функционал для дистанционного управления сервером.
Несмотря на повсеместное использование и широкие возможности удаленного управления iLO, эта система (как и все её аналоги) оказалась уязвимой для взлома. Проблема в том, что описанные выше функции доступны, благодаря применению IPMI, а также SSH, HTTPS, SNMP и XML / JSON API интерфейсов, что само по себе увеличивает потенциальную угрозу атак на сервер.
В 2017 году Hewlett Packard в очередной раз объявила об обнаружении опасных уязвимостей iLO 4 и iLO 3. Проблемы с использованием iLO 4 были выявлены в результате комплексной проверки, которую провели эксперты Airbus Defence and Space Александр Газет (Alexandre Gazet) и Фабиан Перигауд (Fabien Perigaud). Исследования проводились на iLO 4 версий 2.44 и 2.50.
В феврале 2017-го была обнаружена проблема, 27 февраля об этом были уведомлены специалисты HP, и уже на следующий день в компании признали получение отчета об уязвимости. К маю специалистам HP удалось устранить уязвимость и выпустить HP iLO 4 2.53, а к августу компания опубликовала бюллетень по безопасности.
Уязвимость iLO 3 также в 2017 году обнаружили сотрудники Rapid7. В том же 2017-м компания выпустила соответствующие исправления безопасности и опубликовала рекомендации для администраторов, позволяющие защитить серверы под управлением iLO 3 и iLO 4.
Уязвимость iLO 3
iLO 3 входит в аппаратное программное обеспечение многих серверов HP серии ProLiant, соответственно, именно они подвержены риску этой уязвимости. Для решения проблем, связанных с «прорехой» в HP iLO 3, было выпущено исправление безопасности CVE-2017-8987.
На физическом уровне HP iLO 3 представляет собой карту с дискретным сетевым соединением, которое применяется только для удаленного управления сервером. Уязвимость позволяет использовать это соединение для атаки на критические службы и процессы, что в свою очередь может привести к критическим последствиям.
В соответствии с отчетом Rapid7 после использования уязвимости злоумышленник может контролировать и использовать сетевое соединение iLO 3 на протяжении 10 минут до перезагрузки сервера службой безопасности. Этого времени достаточно для того, чтобы заблокировать учетную запись администратора и вызвать критическое поражение информационной инфраструктуры сервера.
Уязвимость обнаружена в прошивке v1.88, в которой после атак могут наблюдаться следующие сбои:
- отсутствие отклика при открытии SSH-сессии;
- сбой новых сеансов SSH;
- критические ошибки web-доступа;
- сбой загрузки страницы авторизации.
Для предотвращения вероятных атак на серверы под управлением iLO 3 с прошивкой v1.88 настоятельно рекомендуется в плановом режиме обновить HP ProLiant до версии v1.89.
Уязвимость iLO 4
iLO 4 обеспечивает удаленное управление HP ProLiant Gen8 и Gen9. На физическом уровне за работу iLO 4 отвечает дискретный чип ARM, архитектурно независимый от основного серверного процессора, так как напрямую подключен к основной шине PCI-Express.
Прошивка хранится на дискретном флеш-чипе. Подобное решение позволяет iLO 4 работать, даже когда сервер выключен. При этом операционная система, являющаяся разработкой RTOS GreenHills Integrity, открывает прямой доступ к интернету некоторым интерфейсам iLO 4. Совокупность описанных технических особенностей и широкие возможности по удаленному управлению сервером делают iLO 4 наиболее привлекательной целью при атаках на Gen8 или Gen9.
Суть обнаруженной уязвимости сводится к переполнению heap-буфера при обработке HTTP-заголовка. В момент, когда новый клиент подключается к web-серверу, один из четырех потоков обрабатывает соединение и начинает анализ HTTP-запроса. Обработка производится функцией, поочередно считывающей каждую строку, идентифицируя и анализируя таким образом возможные варианты HTTP-заголовка. Основная проблема возникает при обработке заголовка соединения функцией sscanf, которая вызывается небезопасной строкой.
Соответственно, при обработке сверхдлинного заголовка соединения возможно переполнение буфера и выполнение произвольного кода.
В Hewlett Packard подчеркивают, что угроза не является лишь теоретически возможной. Известно, что выявившие уязвимость специалисты получили таким образом доступ к управлению сервером.
Для исключения возможности использования этой уязвимости администраторам, использующим iLO 4, рекомендуется незамедлительно обновить прошивку до версии 2.54 или выше. Кроме того, исследовавшие уязвимость специалисты отмечают возможность обхода аутентификации IPMI через шифр 0 и вероятность вычисления пароля при помощи хеша.
Общие рекомендации
Настоятельно рекомендуется применять все версии HP iLO только в изолированной VLAN. Не рекомендуется подключать iLO к сети, если интерфейс не используется. Также необходимо тщательно проверять безопасность сети, в которой планируется использовать систему.
Важным аспектом защиты становится использование случайно генерируемых сильных паролей для каждого отдельного сервера. При запуске iLO в корпоративной сети необходима централизация журналов событий и постоянная проверка на наличие несанкционированных соединений.
Помимо этого важно помнить, что в iLO может использоваться интерфейс IPMI (порт 623), где протокол аутентификации IPMI v2 дает возможность взломщику получить хеш пароля при заведомо известном имени пользователя. Единственная защита от этой уязвимости — качественная изоляция сети.
По материалам https://www.synacktiv.com/