Эксперт компании SANS Technology Institute Йоханнес Ульрих описал возможность хакерской атаки на отключенный сервер. Возможность для такой атаки открывает интерфейс IPMI (Intelligent Platform Management Interface). В свое время корпорация Intel создала интерфейс IPMI, как водится, из самых благих побуждений - для удалённого управления серверами, в том числе для дистанционной перезагрузки сервера, если операционная система не отвечает.
У интерфейса IPMI есть несколько характерных особенностей:
- IPMI активен всегда, когда сервер подключён к источнику электропитания, независимо от того, включён сам сервер или нет;
- IPMI реализован в виде самостоятельной микросхемы на материнской плате, для работы ему не требуется CPU, RAM или другие компоненты;
- IPMI может использовать имеющуюся сетевую карту и не нуждается в отдельной сетевой плате.
В последние годы IPMI неодновратно изменялся - появлялись различные его версии и релизы. В итоге сегодня набор функций, поддерживаемых на конкретном сервере, зависит от производителя материнской платы и версии прошивки. Однако перечисленные выше функции являются общими для всех реализаций IPMI. И именно они делают возможной атаку на выключенный сервер.
Программы OpenIPMI и FreeIPMI позволяют подключиться к серверу и получить информацию с различных сенсоров. Разумеется, только если операционная система поддерживает IPMI. Главная же проблема в том, что многие системные администраторы, подобно простым пользователям, не соблюдают меры безопасности. Например, не закрывают доступ по HTTP и не меняют пароль по умолчанию для IPMI.
Причем развитие интерфейса только усугубляет проблему. Например, IPMI 1.0 работал через серийный порт, а с версии 1.5 стало возможным запускать окно терминала через IP. Версия 2.0 и вовсе содержит поддержку блейдов, vLan и дополнительные функции из современных сетевых стандартов. В последних реализациях IPMI представляет полнофункциональный сервис для удалённого управления, включая такие функции как смену прошивки на сервере.
Виктор ДЕМИДОВ
Версия для печати
Комментарии
Атака на выключенный сервер? а это мысль....
вот так, явно в INTEL хотели как лучше....
а получилсь?
Для начала надо до этого сервера добраться. А это у нормального сисадмина - непростая задача. Так что рассуждения чисто теоретические. Кстати - для ASUS это чипсет с буквой Q.
Само собой. Но журналистам хлебушко!
>Так что рассуждения чисто теоретические.
Неа, уже практические. На данный момент такого рода атаки из разряда "уже возможно, но дико дорого".
И как?
Дико дорого, Майк. :)) В том числе и ответ на вопрос "и как?". Конечно, атака на IPMI есть часть всей атаки на АС.
Просто слова "Для начала надо до этого сервера добраться. А это у нормального сисадмина - непростая задача" - они о любом сервере. Хоть включенном, хоть "выключенном". До включенных добираются? Ну, а теперь и до "выключенных". Или "ломанули сервер" == "админ-дурак" в 100% случаев?
Да и фигня тот сервер - куча обычных современных десктопов имеют на борту AMT/IPMI. И статья - нормальное предупреждение тем же админам - "Обратите внимание!"
Да, надо знать не токмо публичные адреса, сервером обслуживаемые, но и адрес BMC + логин-пароль. Но с какого это перепугу общение с BMC ведётся по протоколу HTTP? Фэнтези автора или того автора, которого автор переводил? :)
Они обросли бородой. В худшем случае злоумышленник, потратив полжизни, может поменять коды входа в управление и заблокировать дистанционное включение. Вот и вся атака.
Даже Ubuntu поддерживает. Но если мама без BMC, то с любой ОС дубльпусто.
Журналисту главное -- "обратить внимание". Однако, плюсую. Пользу от статьи вижу в том, что кое-кто, почитав, возможно, захочет дистанционно управлять домашним сервачком, находясь в командировке, на работе, у подружки и т.д.