Sicherheitshinweise zur Supermicro IPMI Fernwartungskonfiguration bei IPMI Chips mit ATEN-Software
Hinweis: Alle aktuellen Informationen zu verfügbaren Sicherheitsupdates finden Sie im Wiki Artikel IPMI Sicherheitsupdates. |
---|
Am 21.10.2011 bekamen wir Hinweise zu drei Sicherheitsproblemen der Fernwartungsfunktionen bei Supermicro-Systemen mit Nuvoton WPCM450R IPMI Chips mit ATEN-Software.
In diesem Wiki Artikel finden Sie Informationen zu diesen Sicherheitsproblemen und Lösungsempfehlungen.
Update - siehe auch:
- Libupnp Pufferüberlauf bei Mainboards mit Nuvoton WPCM450R IPMI Chips mit ATEN-Software (Juni 2013)
- Supermicro IPMI Sicherheitsupdates November 2013 (November 2013)
Allgemeiner Sicherheitshinweis
Wir empfehlen administrative Zugänge wie IPMI- aber auch etwa SSH-Dienste nicht offen im Internet zu betreiben, sondern mittels Firewall/VPN den Zugriff auf solche Dienste nur berechtigten Personen zu ermöglichen. Diese Empfehlung gilt unabhängig von den hier beschriebenen Sicherheitsproblemen.
Zusätzlich zum Schutz durch eine dedizierte Firewall bieten Mainboards der X9-Series eine integrierte Firewall für die Fernwartungsfunktion (siehe dazu Integrierte IPMI Firewall von Supermicro X9 Mainboards IPMI nutzen).
Betroffene Hardware
Betroffen sind Server mit Mainboards, die Nuvoton WPCM450R IPMI Chips mit ATEN-Software enthalten.
Aus dem Thomas Krenn Portfolio sind das folgende Mainboards:
- Mainboards für Intel CPUs:
- Mainboards für AMD CPUs:
Sicherheitsproblem 1: Standardpasswort für anonymen Benutzer
Standardpasswort für anonymen Benutzer:[1][2]
- Neben dem Account ADMIN gibt es einen zweiten Standardbenutzer, der im IPMI Webinterface mit dem Benutzernamen Anonymous angezeigt wird.
- Dieser Benutzer Anonymous hat das Passwort admin.
- Auf zahlreichen Systemen verfügt dieser Benutzer Anonymous über Administrator-Rechte, bei den neuesten IPMI Firmware Versionen sind die Rechte zum Teil auf No Access gestellt (wird im Webinterface als Reserved angezeigt)
- Mit dem Benutzernamen Anonymous ist zwar kein Zugriff möglich, wenn allerdings kein Benutzername angegeben wird sind folgende Zugriffe möglich:
- SSH Zugriff auf die SMASH-CLP Funktionalität
- Zugriff auf das Webinterface, wenn die Javascript-Abfrage zur Überprüfung des Benutzernamens entfernt wird (z.B. durch Abspeichern des HTML Codes, entfernen der Javascript-Abfrage und Ersetzen der relativen Links im HTML-Quellcode durch absolute Links, welche die IP-Adresse des IPMI Interfaces enthalten)[3]
Lösungsvorschlag
- Setzen Sie für den Benutzer Anonymous ein sicheres Passwort und stellen Sie dessen Rechte auf No access (siehe Bild rechts).
- Bei den neuen Firmware Versionen (siehe Sicherheitsproblem 2) sind die Rechte von Anonymous by default auf No access gesetzt.
Sicherheitsproblem 2: ungeschützte IPMI Konfigurationsdatei
Ungeschützte IPMI Konfigurationsdatei:[4]
- Nach dem Verwenden der Save IPMI Configuration Funktion ist die Datei mit den IPMI Konfigurationsparametern ohne Benutzerauthentifizierung über http://IP-OF-IPMI/save_config.bin abrufbar.
- Bei der save_config.bin Datei handelt es sich um ein .tar.gz Archiv. Die im Archiv enthaltene Datei ps.xml enthält die Benutzerpasswörter im Klartext.
Lösungsvorschlag
- Das Problem wird mit folgenden IPMI Firmware Updates behoben (nach dem Update ist ein Power-cycle notwendig damit die Fixes wirksam werden).
- Lösungsmöglichkeiten bei älteren Firmware-Versionen:
- Solange die Funktion Save IPMI Configuration noch nie verwendet wurde, ist die Datei http://IP-OF-IPMI/save_config.bin nicht vorhanden. Falls nicht unbedingt erforderlich, verwenden Sie diese Funktion nicht.
- Falls Sie die Funktion benötigen oder bereits einmal genutzt haben, ändern Sie die Passwörter der IPMI Benutzer.
Sicherheitsproblem 3: ungeschützter Screenshot
Ungeschützter Screenshot:[5]
- Der letzte Screenshot, der unter "System" -> "System Information" erstellt wurde ist ohne Authentifizierung unter http://IP-OF-IPMI/images/Snapshot.bmp abrufbar.
Lösungsvorschlag
Das Problem wird mit folgenden IPMI Firmware Updates behoben (nach dem Update ist ein Power-cycle notwendig damit die Fixes wirksam werden):
- Mainboards für Intel CPUs:
- X9SCM-F--> Firmware ab 1.45
- X8DTL-3F --> Firmware ab 2.44
- X7SPE-HF-D525 und X7SPE-HF / X7SPA-HF --> Firmware ab 2.66
- X8SIL-F --> Firmware ab 2.66
- Mainboards für AMD CPUs:
- Lösungsmöglichkeiten bei anderen Mainboards:
- Achten Sie darauf, dass dieser Screenshot keine sicherheitskritischen Informationen enthält.
Einzelnachweise
- ↑ Supermicro IPMI documentation omission: presence of second admin account (Full-disclosure Mailingliste, 12.10.2011)
- ↑ SuperMicro IPMI Security (webhostingtalk.com, 09.11.2010)
- ↑ Supermicro IPMI documentation omission: presence of second admin account (Reply) (Full-disclosure Mailingliste, 15.10.2011)
- ↑ Supermicro IPMI: backup function causes password to be stored at public web location (Full-disclosure Mailingliste, 11.10.2011)
- ↑ Supermicro IPMI: backup function causes password to be stored at public web location (Reply) (Full-disclosure Mailingliste, 12.10.2011)
Autor: Werner Fischer Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.
|