Zranitelnost serverů Supermicro

Zachary Wikholm z bezpečnostního týmu CARI.net zveřejnil informaci o kritické zranitelnosti několika základních desek vyráběných společností Supermicro. Bylo zjištěno, že přihlašovací hesla IPMI/BMC nejsou hashována a uchovávají se v plaintextu do souboru, který je k dispozici ke stažení na portu 49152. Zranitelnost byla popsána u základních desek Supermicro s managementem BMC postaveném na chipu Nuvoton WPCM450. Výčet dotčených verzí firmware je dostupný na 0bin.net

Komentáře

Z toho posledního odkazu bych vůbec nebyl moudrý. Lepší je tenhle.

24.6.2014 09:17 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Mimochodem, koukám, že ty chyby byly opravené už před rokem - a z vlastní zkušenosti vím, že měsíc starý server s deskou X9DR3-F touto chybou netrpí. Myslím, že je správné upozornit na nutnost aktualizace firmware, ale ta forma, kdy se zveřejní informace o chybě, ale už ne bližší informace o tom, jak chybu napravit (přestože ta možnost tu - minimálně u části desek - dávno je), mi přijde poněkud bulvární...

24.6.2014 11:42 Brumla01 | skóre: 8
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

24.6.2014 12:06 8an | skóre: 30
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Bohužel ne všude, firmware pro desky z řady X7 (např. X7SPA-HF s Atomem) je děravý i v nejnovější verzi.

If you build an operating system that even an idiot can use, only idiots will use it.

24.6.2014 12:28 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Proto jsem psal "minimálně u části desek". Přesto mi způsob, jakým je to podáno, přijde spíš jako metoda konkurenčního boje než jako seriózní zpráva (a znovu opakuji, že je podle mě dobře, že na to upozornili, kritizuju jen formu).

Mimochodem, zkusil bych dotaz na Abacus. Netuším proč, ale výše zmíněný server koupený před měsícem má novější firmware, než jaký je k dispozici na stránkách SuperMicra. Takže pokud bych byl majitelem takovéto desky, asi bych se zkusil poptat, jestli není k dispozici neoficiální opravená verze a pokud je, proč ji nenabízejí ke stažení.

24.6.2014 13:45 8an | skóre: 30
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

To, že se o problému a opravě nikdo nedozvěděl, je také chyba Supermicro – nejspíš doufali, že když to neoznámí a jen potichu opraví, tak se na to nepřijde a ujdou ostudě. Přitom těžko mohli čekat, že budou lidi upgradovat automaticky, když na vlastních stránkách píšou "Please do not download / upgrade the Firmware UNLESS your system has a firmware-related issue." Tak teď mají ostudu ještě větší a po zásluze, tohle není nějaká omylem zapomenutá kontrola délky řetězce, ale chyba z kategorie "What were they thinking?" (Hesla v plaintextu? Konfigurace dostupná bez autentizace?).

Do Abacusu zkusím napsat.

If you build an operating system that even an idiot can use, only idiots will use it.

24.6.2014 14:29 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Jo, to je pravda.

27.6.2014 01:12 8an | skóre: 30
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Zajímavý článek k tématu: IPMI: Freight Train to Hell. Vina zdá se není tak úplně na straně Supermicro, ty bezpečnostní díry jsou dané specifikací od Intelu. Šílené.

If you build an operating system that even an idiot can use, only idiots will use it.

29.6.2014 20:16 frr | skóre: 34
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

To je *hodně* dobré čtení, díky :-)

Autor se sice věnuje výhradně bezpečnostním dírám, nikoli celkové nahnilosti, ale možná to autorovi na značkových strojích prostě převážně fungovalo. Zdá se, že už to funguje i SuperMicru...

Je tam pár zajímavých poznámek k technologickému pozadí a odkazy na další čtení. Zaujalo mě například, že autor nezmiňuje AMT jako aktuální generaci/nástupce IPMI, ale jako "jinou" vývojovou větev zaměřenou na corporate desktop. Zajímavé - zase jsem o něco chytřejší.

[:wq]

24.6.2014 15:58 Nikola Ciprich | skóre: 23 | blog: NiX_blog | Palkovice
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Netuším proč, ale výše zmíněný server koupený před měsícem má novější firmware, než jaký je k dispozici na stránkách SuperMicra.

to je bohužel něco čím mě supermicro neuvěřitelně se.e. Na stránkách s firmwary je neuvěřitelný bordel, zjevně existují novější verze než jaké mají ke stažení a dostat to z nich nejde.. ani přes abacus ani napřímo..

se starýma deskama máme s IPMI moduly hrozné problémy a prakticky to řešit nejde :(

Did you ever touch the starlight ? Dream for a thousand years? Have you ever seen the beauty Of a newborn century?

26.6.2014 15:40 Lubos Kopecky | skóre: 32
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Kdyz vis, jaky fw po nich chces a jaky problem ti vyresi, tak ti ho jsou schopni poslat, i kdyz neni nikde oficialne prezentovan - ja z nich takto fw dostal.

26.6.2014 17:09 Nikola Ciprich | skóre: 23 | blog: NiX_blog | Palkovice
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

no já jsem to věděl přesně, a dostal jsem jen info že jediné co je k dispozici je to co je na FTP a že je to už nepodporovaná deska :-(

Did you ever touch the starlight ? Dream for a thousand years? Have you ever seen the beauty Of a newborn century?

24.6.2014 16:08 8an | skóre: 30
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Mimochodem, zkusil bych dotaz na Abacus. Netuším proč, ale výše zmíněný server koupený před měsícem má novější firmware, než jaký je k dispozici na stránkách SuperMicra. Takže pokud bych byl majitelem takovéto desky, asi bych se zkusil poptat, jestli není k dispozici neoficiální opravená verze a pokud je, proč ji nenabízejí ke stažení.

Tak už jsem zjistil proč: verze 3.x neumí převzít konfiguraci z verze 2.x (když necháte zaškrtnuté "Preserve configuration", tak IPMI po aktualizaci nenaběhne).

If you build an operating system that even an idiot can use, only idiots will use it.

Je to smutné, ale čo vedie autorov hocičoho ukladať heslá v plaintext? Vidím to len ako zámer, nijaký iný dôvod nepoznám.

Dáš NSA dieru a tá to vyskúša na všetky tvoje kontá.

KERNEL ULTRAS video channel >>>

24.6.2014 23:19 R
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Vyvojari firmwaru su radi, ked im to nejako zacne fungovat. V tom momente manazer vyhlasi, ze to ide do predaja.

25.6.2014 10:52 Yenya
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

No a je tady někdo, kdo má IPMI volně vystavené do Internetu, bez nějakého firewallu před ním? Stejně to obvykle bývá na nějaké samostatné mgmt VLAN, kam se nedá zvenku úplně dobře dostat.

Ostatně, podobný problém mají například u SGI - na jejich administrativní rozhraní u některých serverů se dá přihlásit přes ssh s uživatelem root bez hesla, a to heslo nejde nijak nastavit/změnit.

Tenhle typ problémů asi nikdo seriózně neřeší.

-Yenya, http://www.fi.muni.cz/~kas/blog/

25.6.2014 11:46 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Znám člověka, co poskytuje hosting (VPS i server) pro enterprise, má venku vystrčené úplně vše, jak IPMI, tak ESXi, tak management switchů atd. Resp. v relativně nedávné době to tak ještě bylo a nedělám si iluze, že došlo ke změně.
Zdar Max

Měl jsem sen ... :(

25.6.2014 11:49 Nikola Ciprich | skóre: 23 | blog: NiX_blog | Palkovice
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

problém je když máte někde jen jeden box (který třeba sám funguje jako firewall), tak prostě ten modul na veřejnou adresu dát musíte. A starší moduly svůj firewall snad nemají.

je to bída no :(

Did you ever touch the starlight ? Dream for a thousand years? Have you ever seen the beauty Of a newborn century?

25.6.2014 12:01 R
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Presne tento problem som nedavno riesil. "Vyriesil" som to zatial tak, ze som management (v tomto pripade ILO) nezapojil vobec...

Před lety, tuším v dobách IPMI 2.0 nebo 3.0, jsem dospěl k názoru, že IPMI

smrdí od hlavy, tzn. od Intelu (jak standard, tak intelí referenční implementace) - protokol Serial Over LAN jede nad UDP bez retransmisí a bugy v intelích "doprovodných toolech okolo BIOSu" jsou často nad moje síly
snad s výjimkou správy serverů v dokonale stabilní LAN (= bez ztráty paketů) není vůbec použitelné, protože se ztrátou UDP paketu se neumí vyrovnat. Tzn. zapomeňte na IPMI over WAN/VPN
snažit se nalézt průchozí cestičku v této bažině je slepá ulička a ztráta času, což zjistíte po několika dnech pečlivé detektivní činnosti (= najít verze BMC firmwaru a klientských toolů, aspoň trochu funkční konfiguraci parametrů BMC v hostitelském BIOSu apod. - zejm. na motherboardech kde IPMI parazituje na některé "hlavní" LANce, nakonec to stejně celé pseudonáhodně hnije vlivem pořadí jednotlivých kroků, fáze měsíce a bůhví čeho ještě)

Možná se za poslední 4 roky něco změnilo...

[:wq]

25.6.2014 12:52 8an | skóre: 30
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Mě se v těchto dobách (~2005) na nějakém IBM serveru nepovedlo rozběhat SOL ani po LAN. Už tehdy ale měly použitelný remote management servery od Sunu – na sériák se dalo připojit přes SSH, přes webové rozhraní se dal server restartovat a dokonce i flashovat BIOS, bylo tam i jakési KVM v Javě... Dnes už tohle konečně mají všechny servery, ale je pravda, že spíš navzdory Intelu než jeho zásluhou.

If you build an operating system that even an idiot can use, only idiots will use it.

25.6.2014 12:54 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Já před pár lety dospěl k názoru, že

radši zjistím, jak používat IPMI, než abych musel jezdit do serverovny
OpenVPN je dostatečná na to, aby se dala používat vzdálená konzole
programátoři firmware jsou do jednoho totálně nekompetentní na cracku závislé cvičené opice

Quando omni flunkus moritati

25.6.2014 14:11 Radek Hladik | skóre: 20
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

Praveze u tech supermikro desek je to KVM pomerne slusne pouzitelne a de facto v cene (pri srovnani s obdobnymi deskami). Ve srovnani s temi puvodnimi IPMI je to nebe a dudy...

25.6.2014 13:40 R
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

To "parazitujuce" IPMI som tiez nikdy nerozchodil... Odvtedy plati, ze do kazdeho doleziteho servera sa kupuje DRAC.

25.6.2014 14:02 Nikola Ciprich | skóre: 23 | blog: NiX_blog | Palkovice
Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro

na nových serverech (mluvím stále o supermicro) je to už celkem slušně použitelné. problém jsou ty staré, tam jsem ve stavu že asi zlomím hůl...

Did you ever touch the starlight ? Dream for a thousand years? Have you ever seen the beauty Of a newborn century?