Разработчики проекта Metasploit раскрыли (https://community.rapid7.com/community/metasploit/blog/2013/...) данные о семи уязвимостях в IPMI-прошивках серверных продуктов Supermicro и опубликовали прототипы эксплоитов. Проблемы остаются неисправленными, несмотря на то, что приватное уведомление об их наличии было отправлено сотрудникам Supermicro три месяца назад.
Среди уязвимостей:
- Использование присутствующих в прошивке статически сгенерированных ключей шифрования, используемых в SSL и Dropbear SSH;
- Наличие преднастроенного скрытого аккаунта для входа в интерфейс WSMan, который может восприниматься как бэкдор. Примечательно, что администратор при помощи штатного интерфейса не может поменять пароль для данного аккаунта;
- Два переполнение буфера в скрипте организации входа в систему (login.cgi), позволяющие организовать выполнение кода через манипуляции со значением полей имени и пароля пользователя;
- Переполнение буфера в скрипте close_window.cgi, запускаемом без аутентификации. Уязвимость проявляется при передаче специально оформленного идентификатора сессии;
- Многочисленные уязвимости в скриптах (в том числе logout.cgi, url_redirect.cgi), доступных только после прохождения аутентификации.IPMI (Intelligent Platform Management Interface) представляет собой доступный по сети независимый интерфейс для мониторинга и управления оборудованием, позволяющий отслеживать состояние датчиков, управлять питанием и выполнять другие операции с оборудованием. Сканирование Сети выявило около 35 тысяч уязвимых систем Supermicro с доступным для внешних запросов интерфейсом IPMI.
URL: http://threatpost.com/seven-ipmi-firmware-zero-days-disclose...
Новость: https://www.opennet.ru/opennews/art.shtml?num=38362
Ну метасплойтовцы! Это же не уязвимости, это необходимые сильным мира сего возможности!
А вот кто хочет телефон? http://www.ixbt.com/news/hard/index.shtml?17/34/46 - ваш персональный шпион и хакеры - в вашем телефоне. Теперь официально!
открыли америку.. в samsung и lg - такое есть уже давно.
> открыли америку.. в samsung и lg - такое есть уже давно.Пруф?
в принципе, если нормальные админы ипми держат в отдельном влане, настраивают аксесс листы правильно на маршрутизаторах, то даже и не страшно.
Да, слой бинта, гипс, еще слой бинта, еще гипс, и самое главное - никакого секса^W ipmi.
>>доступным для внешних запросов интерфейсом IPMIЯ плакал
да ещё почти в четыре раза больше, чем 9000!
Я тоже, это ж мля додуматься надо выставить IPMI наружу с голой жопой.
management vlan закрытый по самое немогу? - Не, не слышали.
Ну если сервер в Local Area - то это не проблема.
А что делать, если ты тут, а сервер в Германии? Разве, что каким-то образом оговаривать список IP для доступа к менеджменту средствами компании предоставляющей место в стойке.
> А что делать, если ты тут, а сервер в Германии?Для предоставления доступа к административным сетям когда-то придумали VPN (OpenVPN, например).
В любом случае, к таким интерфейсам (не только IPMI, вообще админки всяческих железок) не должно быть свободного доступа из публичных сетей. Кто этого не понимает - ССЗБ.
>> А что делать, если ты тут, а сервер в Германии?
> Для предоставления доступа к административным сетям когда-то придумали VPN (OpenVPN, например).
> В любом случае, к таким интерфейсам (не только IPMI, вообще админки всяческих
> железок) не должно быть свободного доступа из публичных сетей. Кто этого
> не понимает - ССЗБ.И вот, уже нужно ставить еще одну железку(+money$), только с VPN, что не исключает проблемы и с ней же - бэкдоры и просто уязвимости в VPN сервере.
Не подумайте, что я против VPN и прочих средств защиты. Просто не радостно когда из-за того, что должно быть безопасным - реализовано через жопу и приходится усложнять архитектуру.
> реализовано через жопуОно не просто так реализовано. Там откровенно впихан левый административный бэкдор. AWARD_SW. Теперь товарищу майору (и хакеру Васе) больше не надо отрывать зад от стула и бежать к компьютеру. Вон там 30 000 машин - к вашим услугам...
> И вот, уже нужно ставить еще одну железку(+money$)Ox-ox, какой ужас, PIII + RAID1 из двух древних сигейтов - это так дорого... Мани-мани. (Такая конфигурация 10 лет работать будет).
> просто уязвимости в VPN сервере.
Реально эксплуатируемые уязвимости в своевременно обновляемом OpenVPN? Не, не слышал.
> Не подумайте, что я против VPN и прочих средств защиты. Просто не
> радостно когда из-за того, что должно быть безопасным - реализовано через
> жопу и приходится усложнять архитектуру.Ну, тут одно из двух - либо просто, либо безопасно. По-другому не бывает. Так устроен этот жестокий мир.
> Ox-ox, какой ужас, PIII + RAID1 из двух древних сигейтов - это
> так дорого... Мани-мани. (Такая конфигурация 10 лет работать будет).Это будет дорого,
1) Потому что место в ДЦ придется оплатить.
2) Когда у этого хлама окончательно вспухнут кондеры на мамке - будет весело.
> 1) Потому что место в ДЦ придется оплатить.ok. Пусть это будет виртуалка на 128 MB RAM.
> 2) Когда у этого хлама окончательно вспухнут кондеры на мамке - будет
> весело.См. выше. Когда на мамке незарезервированного virtual host'а вспухнут кондёры - будет весело всем, без сомнения. Чё сказать-то хотел, анонимный интеллект? Ищем оправдание долбомудизму, т.е. выставлению административных интерфейсов в публичную сеть?
> См. выше. Когда на мамке незарезервированного virtual host'а вспухнут кондёры - будет
> весело всем, без сомнения. Чё сказать-то хотел, анонимный интеллект?Виртуальные кондёры! you made my day :)
> Виртуальные кондёры! you made my day :)Virtual host, в отличие от virtual guest'а, вполне себе материален. И кондёры в ём есть. Петросянчик ^^
>> Виртуальные кондёры! you made my day :)
> Virtual host, в отличие от virtual guest'а, вполне себе материален. И кондёры
> в ём есть. Петросянчик ^^А, вы про это...)
Да, если не самосборный кустарный, то обычно резервировано
> Ox-ox, какой ужас, PIII + RAID1 из двух древних сигейтови кто же даст такой хлам поставить в ДЦ???? Где у тебя один из 10тыс. серверов в стойке?
>> Ox-ox, какой ужас, PIII + RAID1 из двух древних сигейтовПривет, некропостер! Ну поставь 1U-железку с вэпээном, если третьепень с сигейтами не нравится.
> А что делать, если ты тут, а сервер в Германии?<trollmode>Не держать свои сервера в Германии</trollmode>
Выбирать нормального хостера, который даёт VPN до IPMI-интерфейса.
> <trollmode>Не держать свои сервера в Германии</trollmode>В Германии сервера по крайней мере не изымают по звонку товарищ-майоров, знаете ли. А также вменяемые цены и хорошее конективити в мир, не проходящее через бельевые веревки ростелекома и тому подобных.
> Выбирать нормального хостера, который даёт VPN до IPMI-интерфейса.
И надеяться что это не разломают.
> В Германии сервера по крайней мере не изымают по звонку товарищ-майоров, знаете
> ли.Некто Эдик Сноуден весело смеётся над твоей наивностью, и спецслужбы ФРГ ему подхихикивают.
>> Выбирать нормального хостера, который даёт VPN до IPMI-интерфейса.
> И надеяться что это не разломают.Примеры взломов OpenVPN ф студию.
Dedicated-хостинги. Например - timeweb. У них ipmi торчит наружу для всех.
Coreboot не нужен, мы предпочитаем надежные энтерпрайзные решения.
Cкажите вы точно понимаете о чем новость ?
Точно понимаю, в coreboot пилят прошивки для ВСЕХ компонентов ПК, а не только замену биоса.
Буду очень благодарен если вы укажете мне где именно в coreboot находятся исходники прошивок для BMC.
Никому же нинужно, ынтерпрайз надежнее, вот не делают. Хотя например для тех же super i/o делают, хоть это и не сам coreboot.
> же super i/o делают, хоть это и не сам coreboot.Пардон? Super I/O это довольно дубовый автомат. У него нет никаких "прошивок". Бывает что управление вентиляторами и отслеживание датчиков вместо этого спихнуто на BMC, вот у этого прошивка бывает. И сабж в половине случаев он же делает. Но где его прошивка, собственно?
http://www.coreboot.org/Embedded_controller
Это не BMC.
> Это не BMC.Вполне себе видел мамки где один и тот же процик и по сети ремотное управление делает и вентиляторам обороты регулирует. ME firmware на интеловской мамке. Внезапно, правда? :)
И что ? Какое это имеет отношение к данной новости ?
> И что ? Какое это имеет отношение к данной новости ?Такое что там тоже может быть бэкдор при малейшем желании интеля.
> http://www.coreboot.org/Embedded_controllerПростите, EC (он же зачастую и BMC) - это таки не SuperIO. SuperIO - это как правило довольно глупый чип, висящий на LPC-bus или чем-то подобном, который делает из внутреннего представления чипсета пачку легаси интерфейсов характерных для древних PC, ну там COM/LPT/PS2/... . Иногда до кучи кроме этого безблагодатного хлама там делают пачку датчиков вольтажа/температур/хардварную регулировку вентиляторов (основной системный проц может в принципе влиять на это, перепрограммируя ряд параметров в регистрах чипа). Это все сделано на хардварных автоматах и никакой фирмвари не имеет - аппаратно все делается, по поводу чего логика поведения чипа - достаточно дубовая.
EC/BMC - это небольшой отдельный проц. Вот у этого добра фирмвара очень даже может быть. И по сети оно может давать доступ. И вентиляторами оно рулить может. Т.к. мелкому процу померять температуру и поменять параметры PWM в фирмваре ни разу не сложнее чем хардварному автомату.
Кстати да, IPMI у Supermicro не часто обновляется если вообще обновляется. Просто принцип "Работает не трогай" рано или поздно начинает давать сильную отдачу по то тому кто этот принцип применяет. Да и вообще веб интерфейс у них и так страшный так что нахождение там ошибок ни чуть не увиляет
> интерфейс у них и так страшный так что нахождение там ошибок
> ни чуть не увиляетЗато обнаружение бэкдора - несомненно радует любителей проприетарщины.
> Зато обнаружение бэкдора - несомненно радует любителей проприетарщины.Закладки в аппаратной части тоже ни кто не отменял. Так что тот факт, что у вас открытое ПО еще не показатель повышенной безопасности. )
Повышенной относительно чего? Относительно дырявой проприретари с закладками на том же железе с закладками??? Ещё как показатель. =)
> факт, что у вас открытое ПО еще не показатель повышенной безопасности. )Это еще почему? Как минимум административный логин по типу AWARD_SW у супермикры очень даже отвалится. А сильно сложную логику в железо, в отличие от софта, не запихнешь.
>> факт, что у вас открытое ПО еще не показатель повышенной безопасности. )
> Это еще почему? Как минимум административный логин по типу AWARD_SW у супермикры
> очень даже отвалится. А сильно сложную логику в железо, в отличие
> от софта, не запихнешь.мисье вы о VHDL, AHDL, Verilog слышали? вот на VHDL делают целый 8051 на базе PLD... это называется сложную логику в железо не запихать? да еще и перепрограммуремую в Altera APEX (к примеру)..
> мисье вы о VHDL, AHDL, Verilog слышали? вот на VHDL делают целый
> 8051 на базе PLD...На их основе и более сложные вещи прототипируют. Тем не менее, процессор как таковой - всего лишь достаточно глупый автомат. Он своей линии поведения вообще не имеет. Ему еще код нужен, чтобы он что-то осмысленное делать мог. Код как раз и определяет как автомат между состояниями мотаться будет. А вот расписать сие в голом железе - ага, ЩАЗЗЗЗЗ. Даже вон CISC не могут сложные команды напрямую в железе выполнять, разваливают их через uCode ROM на несколько простых команд которые уже можно влобовую послать в аппаратные блоки.
> это называется сложную логику в железо не запихать?
Именно так. А чего такого сложного в автомате с несколькими регистрами? Переходы между состояниями описываются внешним кодом и вся сложная логика - именно там.
> да еще и перепрограммуремую в Altera APEX (к примеру)..
И, конечно, никто не заметит лишнюю альтерину на плате...
Ни хочу никогда обидеть. Но открытость ПО еще не гарантирует того что данное ПО безопаснее чем закрытое. Например в некотором открытом ПО например в ядре Linux были ошибки которые не были выявлены годы. Это конечно же не бэкдор однако некоторые подобного рода ошибки позволяли получать полный контроль над системой. Что так же можно было использовать для дальнейшего внедрения бэкдора. Открытое ПО безусловно интересно по многим факторам, но что оно более безопаснее чем закрытое я бы не стал говорить, хотя бы потому что тут критериев безопасности много. К тому же уже были случае когда в открытом ПО находили бэкдоры, и хотя все это сводилось к разговору что «на один из серверов проекта проник злоумышленник и внедрил бэкдор» эти случае все же были. Открытое ПО может быть более качественным, поскольку оно публичное, и люди хотят делать все профессионально, потому что их работу видят не только в виде готовой программы но и в виде исходного кода. :)Что касается аппаратных закладок, ни кто не мешает аппаратной части иметь внутри себя все необходимое для должного функционирования и выполнения поставленных задач.
> Но открытость ПО еще не гарантируетУ нормальных людей Гарантирует!:)
Если это не толстый троллинг, то гарантировать ничто не может, кроме случая собственноручной реализации как аппаратной, так и программной (что проще, в случае с СПО) части и то, сложность систем, способных на большее чем "Hello world", не дает права гарантировать, что в ПО и железе нет пусть не "закладок", а хотя бы, скажем так, "непредусмотренного поведения". Наличие таких "возможностей" не исключает их применения при взломе подобных систем. А те, кто думает, что безопасность можно гарантировать какими либо способами, те ССЗБ. Безопасность можно только повысить до какого-то уровня, обычно исходя из предполагаемых убытков в случае взлома.
Ok. Я процитирую ваше предложение полностью:)
> Но открытость ПО еще не гарантирует того что данное ПО безопаснее чем закрытое.Отсюда следует, что "если ПО идентично по кодовой базе, но один вариант имеет открытые исходники, а другой таковых не имеет, то первый вариант, с точки зрения обеспечения безопасности предпочтительней, а соответственно "гарантирует, что он более безопасен". Корректность формулировки последней цитаты, с точки зрения русского языка, можно опустить.:)
1. Вы банально приписали мне авторство высказывания другого человека.
2. Не поняли смысла написанного мной.
3. Не понимаете смысла слова "гарантирует".
4. Неправильно понимаете характер взаимосвязи между открытостью и безопасностью.
> Ни хочу никогда обидеть. Но открытость ПО еще не гарантирует того что
> данное ПО безопаснее чем закрытое.Оно гарантирует что изначальные намерения - честные. А то что баги бывают в любых программах - мы в курсе. Только у проприетариев еще и предлагается верить узкой группе лиц что все честно, без возможности как либо проверить это по простому.
> что оно более безопаснее чем закрытое я бы не стал говорить,
Я бы сказал что оно априори вызывает больше доверия чем закрытое, потому что больше человеков могут проводить аудит и это ставит некоторый барьер на пути злонамеренрной внедрежки бэкдоров. Если уж мы о линуксе - там помнится успешно запалили попытку вброса бэкдора через (if ... =) вместо (if ... == ). А у проприетариев как видим встречаются и более брутальные и наглые плюхи - "а вот наш логин, хрен удалишь".
> делать все профессионально, потому что их работу видят не только в
> виде готовой программы но и в виде исходного кода. :)И кроме того, при этом откровенное впихивание бэкдоров все-таки не пройдет.
> Что касается аппаратных закладок, ни кто не мешает аппаратной части иметь внутри
> себя все необходимое для должного функционирования и выполнения поставленных задач.Кроме того что чем больше в чипе логики - тем больше кристалл и дороже производство. Поэтому тратить половину площади чипа на бэкдор настоящего капиталиста элементарно удавит жаба.
И откуда сведения о площади кристалла на 1 бэкдор? Не стоит исключать и (внезапно) прошивку в "железе", принимаемую за функции логики кристалла.
> Ни хочу никогда обидеть. Но открытость ПО еще не гарантирует того что
> данное ПО безопаснее чем закрытое.Не гарантирует, но шансы повышает на порядки.
На самом деле, можно сколько угодно спорить "я думаю, вот так. А я думаю, так".
Но мы же взрослые люди, можно вытащить и померить :)
Т.е. посмотреть статистику атак и взломов на те или иные системы.
Вопросы отпадут сами собой.
Ну и у открытого ПО скорость фиксов обычно выше (тоже можно поднять статитику).
так это еще не везде собака порылась, они только как кидис cgi интерфейс долбили" Note that this assessment did not include the actual IPMI network services and was primarily focused on default keys, credentials, and the web management interface."
неприятно у мну 50 узлов со встроенным в порты функционалом
> неприятно у мну 50 узлов со встроенным в порты функционаломЖдите гостей из группы Anonymous и АНБ.
>> неприятно у мну 50 узлов со встроенным в порты функционалом
> Ждите гостей из группы Anonymous и АНБ.Ну не все так страшно - это вычислительные блейды. И я их контролирую через цудовный жавский инструмент ... но порты все равно светят. Видна-жава парни обертки для http/s хорошо пишут .... Считают они вообщем хорошо ....Больше беспокоят BMC карточки от интел.
Испокон веков было известно какой мусор выпускает supermicro.
dedicated ipmi порт + отдельный свищ, например. ну или vlan. зачем ЭТО выставлять в интернетики?
> dedicated ipmi порт + отдельный свищ, например. ну или vlan. зачем ЭТО
> выставлять в интернетики?Ты уже слой гипса на свой ... штекер эзернета наложил? :)
так а какой логин/пароль у скрытого аккаунта?
# cat /mnt/1/wsman/openwsman/etc/openwsman/digest_auth.passwd
wsman:OPENWSMAN:5a659df1ac36d2f4eb84092145532919это оно?