Sicherheitshinweise zur Supermicro IPMI Fernwartungskonfiguration bei IPMI Chips mit ATEN-Software

Aus Thomas-Krenn-Wiki
Wechseln zu: Navigation, Suche
Hinweis: Alle aktuellen Informationen zu verfügbaren Sicherheitsupdates finden Sie im Wiki Artikel IPMI Sicherheitsupdates.

Am 21.10.2011 bekamen wir Hinweise zu drei Sicherheitsproblemen der Fernwartungsfunktionen bei Supermicro-Systemen mit Nuvoton WPCM450R IPMI Chips mit ATEN-Software.

In diesem Wiki Artikel finden Sie Informationen zu diesen Sicherheitsproblemen und Lösungsempfehlungen.

Update - siehe auch:

Allgemeiner Sicherheitshinweis

Wir empfehlen administrative Zugänge wie IPMI- aber auch etwa SSH-Dienste nicht offen im Internet zu betreiben, sondern mittels Firewall/VPN den Zugriff auf solche Dienste nur berechtigten Personen zu ermöglichen. Diese Empfehlung gilt unabhängig von den hier beschriebenen Sicherheitsproblemen.

Zusätzlich zum Schutz durch eine dedizierte Firewall bieten Mainboards der X9-Series eine integrierte Firewall für die Fernwartungsfunktion (siehe dazu Integrierte IPMI Firewall von Supermicro X9 Mainboards IPMI nutzen).

Betroffene Hardware

Betroffen sind Server mit Mainboards, die Nuvoton WPCM450R IPMI Chips mit ATEN-Software enthalten.

Aus dem Thomas Krenn Portfolio sind das folgende Mainboards:

Sicherheitsproblem 1: Standardpasswort für anonymen Benutzer

Setzen Sie für den Benutzer Anonymous ein sicheres Passwort und stellen Sie dessen Rechte auf No access.

Standardpasswort für anonymen Benutzer:[1][2]

  • Neben dem Account ADMIN gibt es einen zweiten Standardbenutzer, der im IPMI Webinterface mit dem Benutzernamen Anonymous angezeigt wird.
  • Dieser Benutzer Anonymous hat das Passwort admin.
  • Auf zahlreichen Systemen verfügt dieser Benutzer Anonymous über Administrator-Rechte, bei den neuesten IPMI Firmware Versionen sind die Rechte zum Teil auf No Access gestellt (wird im Webinterface als Reserved angezeigt)
  • Mit dem Benutzernamen Anonymous ist zwar kein Zugriff möglich, wenn allerdings kein Benutzername angegeben wird sind folgende Zugriffe möglich:
    • SSH Zugriff auf die SMASH-CLP Funktionalität
    • Zugriff auf das Webinterface, wenn die Javascript-Abfrage zur Überprüfung des Benutzernamens entfernt wird (z.B. durch Abspeichern des HTML Codes, entfernen der Javascript-Abfrage und Ersetzen der relativen Links im HTML-Quellcode durch absolute Links, welche die IP-Adresse des IPMI Interfaces enthalten)[3]

Lösungsvorschlag

  • Setzen Sie für den Benutzer Anonymous ein sicheres Passwort und stellen Sie dessen Rechte auf No access (siehe Bild rechts).
  • Bei den neuen Firmware Versionen (siehe Sicherheitsproblem 2) sind die Rechte von Anonymous by default auf No access gesetzt.

Sicherheitsproblem 2: ungeschützte IPMI Konfigurationsdatei

Ungeschützte IPMI Konfigurationsdatei:[4]

  • Nach dem Verwenden der Save IPMI Configuration Funktion ist die Datei mit den IPMI Konfigurationsparametern ohne Benutzerauthentifizierung über http://IP-OF-IPMI/save_config.bin abrufbar.
  • Bei der save_config.bin Datei handelt es sich um ein .tar.gz Archiv. Die im Archiv enthaltene Datei ps.xml enthält die Benutzerpasswörter im Klartext.

Lösungsvorschlag

  • Das Problem wird mit folgenden IPMI Firmware Updates behoben (nach dem Update ist ein Power-cycle notwendig damit die Fixes wirksam werden).
  • Lösungsmöglichkeiten bei älteren Firmware-Versionen:
    • Solange die Funktion Save IPMI Configuration noch nie verwendet wurde, ist die Datei http://IP-OF-IPMI/save_config.bin nicht vorhanden. Falls nicht unbedingt erforderlich, verwenden Sie diese Funktion nicht.
    • Falls Sie die Funktion benötigen oder bereits einmal genutzt haben, ändern Sie die Passwörter der IPMI Benutzer.

Sicherheitsproblem 3: ungeschützter Screenshot

Ungeschützter Screenshot:[5]

Lösungsvorschlag

Das Problem wird mit folgenden IPMI Firmware Updates behoben (nach dem Update ist ein Power-cycle notwendig damit die Fixes wirksam werden):

  • Mainboards für Intel CPUs:
  • Mainboards für AMD CPUs:
  • Lösungsmöglichkeiten bei anderen Mainboards:
    • Achten Sie darauf, dass dieser Screenshot keine sicherheitskritischen Informationen enthält.

Einzelnachweise

  1. Supermicro IPMI documentation omission: presence of second admin account (Full-disclosure Mailingliste, 12.10.2011)
  2. SuperMicro IPMI Security (webhostingtalk.com, 09.11.2010)
  3. Supermicro IPMI documentation omission: presence of second admin account (Reply) (Full-disclosure Mailingliste, 15.10.2011)
  4. Supermicro IPMI: backup function causes password to be stored at public web location (Full-disclosure Mailingliste, 11.10.2011)
  5. Supermicro IPMI: backup function causes password to be stored at public web location (Reply) (Full-disclosure Mailingliste, 12.10.2011)


Foto Werner Fischer.jpg

Autor: Werner Fischer

Werner Fischer, tätig im Bereich Communications / Knowledge Transfer bei Thomas-Krenn, hat sein Studium zu Computer- und Mediensicherheit an der FH Hagenberg abgeschlossen. Er ist regelmäßig Autor in Fachzeitschriften und Speaker bei Konferenzen wie LinuxCon, OSDC, OSMC, LinuxTag u.v.m. Seine Freizeit gestaltet er sehr abwechslungsreich. In einem Moment absolviert er seinen Abschluss im Klavierspielen, im anderen läuft er beim Linzmarathon in der Staffel mit oder interessiert sich für OpenStreetMap.


Das könnte Sie auch interessieren

ASUS ASMB8-iKVM
Full Remote Management Supermicro
IPMI Chip Supermicro X10 Mainboards