Sicherheitshinweise zur Supermicro IPMI Fernwartungskonfiguration bei IPMI Chips mit ATEN-Software

Am 21.10.2011 bekamen wir Hinweise zu drei Sicherheitsproblemen der Fernwartungsfunktionen bei Supermicro-Systemen mit Nuvoton WPCM450R IPMI Chips mit ATEN-Software.

In diesem Wiki Artikel finden Sie Informationen zu diesen Sicherheitsproblemen und Lösungsempfehlungen.

Allgemeiner Sicherheitshinweis

Wir empfehlen administrative Zugänge wie IPMI- aber auch etwa SSH-Dienste nicht offen im Internet zu betreiben, sondern mittels Firewall/VPN den Zugriff auf solche Dienste nur berechtigten Personen zu ermöglichen. Diese Empfehlung gilt unabhängig von den hier beschriebenen Sicherheitsproblemen.

Zusätzlich zum Schutz durch eine dedizierte Firewall bieten Mainboards der X9-Series eine integrierte Firewall für die Fernwartungsfunktion (siehe dazu Integrierte IPMI Firewall von Supermicro X9 Mainboards IPMI nutzen).

Betroffene Hardware

Betroffen sind Server mit Mainboards, die Nuvoton WPCM450R IPMI Chips mit ATEN-Software enthalten.

Aus dem Thomas Krenn Portfolio sind das folgende Mainboards:

• Mainboards für Intel CPUs:
  • X9SCM-F
  • X9SCA-F
  • X8DTL-3F
  • X8SIL-F
  • X7SPE-HF
  • X7SPA-HF
  • X7SPE-HF-D525
• Mainboards für AMD CPUs:
  • H8SCM-F
  • H8DG6-F

Sicherheitsproblem 1: Standardpasswort für anonymen Benutzer

Setzen Sie für den Benutzer Anonymous ein sicheres Passwort und stellen Sie dessen Rechte auf No access.

Standardpasswort für anonymen Benutzer:^[1][2]

• Neben dem Account ADMIN gibt es einen zweiten Standardbenutzer, der im IPMI Webinterface mit dem Benutzernamen Anonymous angezeigt wird.
• Dieser Benutzer Anonymous hat das Passwort admin.
• Auf zahlreichen Systemen verfügt dieser Benutzer Anonymous über Administrator-Rechte, bei den neuesten IPMI Firmware Versionen sind die Rechte zum Teil auf No Access gestellt (wird im Webinterface als Reserved angezeigt)
• Mit dem Benutzernamen Anonymous ist zwar kein Zugriff möglich, wenn allerdings kein Benutzername angegeben wird sind folgende Zugriffe möglich:
  • SSH Zugriff auf die SMASH-CLP Funktionalität
  • Zugriff auf das Webinterface, wenn die Javascript-Abfrage zur Überprüfung des Benutzernamens entfernt wird (z.B. durch Abspeichern des HTML Codes, entfernen der Javascript-Abfrage und Ersetzen der relativen Links im HTML-Quellcode durch absolute Links, welche die IP-Adresse des IPMI Interfaces enthalten)^[3]

Lösungsvorschlag

• Setzen Sie für den Benutzer Anonymous ein sicheres Passwort und stellen Sie dessen Rechte auf No access (siehe Bild rechts).
• Bei den neuen Firmware Versionen (siehe Sicherheitsproblem 2) sind die Rechte von Anonymous by default auf No access gesetzt.

Sicherheitsproblem 2: ungeschützte IPMI Konfigurationsdatei

Ungeschützte IPMI Konfigurationsdatei:^[4]

• Nach dem Verwenden der Save IPMI Configuration Funktion ist die Datei mit den IPMI Konfigurationsparametern ohne Benutzerauthentifizierung über http://IP-OF-IPMI/save_config.bin abrufbar.
• Bei der save_config.bin Datei handelt es sich um ein .tar.gz Archiv. Die im Archiv enthaltene Datei ps.xml enthält die Benutzerpasswörter im Klartext.

Lösungsvorschlag

• Das Problem wird mit folgenden IPMI Firmware Updates behoben (nach dem Update ist ein Power-cycle notwendig damit die Fixes wirksam werden).
  • Mainboards für Intel CPUs:
    • X8SIL-F --> Firmware ab 2.58
    • X7SPA-HF, X7SPE-HF und X7SPE-HF-D525 --> Firmware ab 2.58
    • X9SCM-F --> Firmware ab 1.30
    • X8DTL-3F --> Firmware ab 2.37
  • Mainboards für AMD CPUs:
    • H8SCM-F --> Firmware ab 2.37
    • H8DG6-F --> Firmware ab 2.37
• Lösungsmöglichkeiten bei älteren Firmware-Versionen:
  • Solange die Funktion Save IPMI Configuration noch nie verwendet wurde, ist die Datei http://IP-OF-IPMI/save_config.bin nicht vorhanden. Falls nicht unbedingt erforderlich, verwenden Sie diese Funktion nicht.
  • Falls Sie die Funktion benötigen oder bereits einmal genutzt haben, ändern Sie die Passwörter der IPMI Benutzer.

Sicherheitsproblem 3: ungeschützter Screenshot

Ungeschützter Screenshot:^[5]

• Der letzte Screenshot, der unter "System" -> "System Information" erstellt wurde ist ohne Authentifizierung unter http://IP-OF-IPMI/images/Snapshot.bmp abrufbar.

Lösungsvorschlag

Das Problem wird mit folgenden IPMI Firmware Updates behoben (nach dem Update ist ein Power-cycle notwendig damit die Fixes wirksam werden):

• Mainboards für Intel CPUs:
  • X9SCM-F--> Firmware ab 1.45
  • X8DTL-3F --> Firmware ab 2.44
  • X7SPE-HF-D525 und X7SPE-HF / X7SPA-HF --> Firmware ab 2.66
  • X8SIL-F --> Firmware ab 2.66
• Mainboards für AMD CPUs:
  • H8SCM-F--> Firmware ab 2.44
  • H8DG6-F--> Firmware ab 2.44
• Lösungsmöglichkeiten bei anderen Mainboards:
  • Achten Sie darauf, dass dieser Screenshot keine sicherheitskritischen Informationen enthält.

Einzelnachweise

1. ↑ Supermicro IPMI documentation omission: presence of second admin account (Full-disclosure Mailingliste, 12.10.2011)
2. ↑ SuperMicro IPMI Security (webhostingtalk.com, 09.11.2010)
3. ↑ Supermicro IPMI documentation omission: presence of second admin account (Reply) (Full-disclosure Mailingliste, 15.10.2011)
4. ↑ Supermicro IPMI: backup function causes password to be stored at public web location (Full-disclosure Mailingliste, 11.10.2011)
5. ↑ Supermicro IPMI: backup function causes password to be stored at public web location (Reply) (Full-disclosure Mailingliste, 12.10.2011)

• Thomas Krenn steht für Server Made in Germany.
  Wir assemblieren und liefern europaweit innerhalb von 24 Stunden.
  Unter www.thomas-krenn.com können Sie Ihre Server individuell konfigurieren.