Thursday, July 11, 2013

Baseboard Management Controllers: handig maar zo lek als een mandje

Het zit in bijna iedere server, een Baseboard Management Controller (BMC). Dat is een interface die je kunt gebruiken om buiten het OS om contact te maken met je server, bijvoorbeeld om een reset te geven of om juist een remote installatie van het OS te doen. Een voorbeeld van dat laatste is Bare Metal Deployment van System Center VMM waarmee je geautomatiseerd Hyper-V servers kunt uitrollen. Bijna 200 fabrikanten hebben een BMC in hun producten maar je kent ze misschien waarschijnlijk wel als Dell DRAC, HP iLO en Supermicro IPMI.

IPMI

Een BMC is een kleine embedded computer die meestal Linux draait en direct toegang heeft tot de devices op het moederbord. De interface om met de BMC te communiceren heet IPMI, dat staat voor Intelligent Platform Management Interface. Nu heeft Dan Farmer, een security researcher die aan de wieg stond van wat we nu kennen als vulnerability scanners, onderzoek gedaan naar de security van BMC en IPMI. De uitkomsten zijn niet bepaald geruststellend, IPMI implementaties bevatten een flink aantal beveiligingslekken en BMC’s zijn in sommige gevallen zelfs vanaf het internet bereikbaar.

Zwakke plekken

Zo worden bijvoorbeeld IPMI credentials unencrypted opgeslagen, is een brute-force attack op een password hash mogelijk, draait een kwetsbare versie van UPnP en staat bij andere merken een standaard anoniem account met beheerrechten ingeschakeld. Een ander veelvoorkomend issue is dat beheerders de standaard credentials van de BMC niet aanpassen, alleen HP genereert een uniek password aan de hand van het serienummer van de server. Voor andere systemen is het vaak mogelijk om in te loggen met root:calvin (Dell), ADMIN:ADMIN (Supermicro) of root:changeme (SUN/Oracle ILOM). En als je één achterdeurtje dichtzet dan staan er vaak nog twee andere open waarmee je de eerste ook weer open kunt zetten.

Risico’s

Het eerste probleem met deze kwetsbaarheden is dat de impact groot is. Toegang tot de BMC is vergelijkbaar met fysieke toegang tot de server, dit betekent dat je de server kunt rebooten met een geïnfecteerde bootdisk of in kunt loggen op een console. Het tweede probleem is dat het moeilijk is om je hier tegen te wapenen, bij de meeste systemen kun je de BMC namelijk niet uitschakelen tenzij je de stroom van de server haalt. Fabrikanten lijken zich ook nog niet echt bewust te zijn van de ernst en de noodzaak om hier meer aandacht aan te besteden.

Aanbevelingen

Kijkend naar deze bevindingen dan kun je het volgende in ieder geval doen:

  • Update de BMC firmware regelmatig
  • Zorg dat je een gescheiden VLAN voor Out-of-band management gebruikt en beperk de toegang tot dit netwerk
  • Pas het wachtwoord aan
  • Zorg dat je bekend bent met de vulnerabilities in jouw BMC en schakel kwetsbare functionaliteit uit, indien mogelijk

Lees voor meer informatie het artikel IPMI: Freight Train to Hell van Dan Farmer, of de verkorte versie IPMI: Express Train to Hell. Meer informatie over deze artikelen vind je op de site van de auteur.

Dan Farmer (bron: WikiPedia)

No comments: