Как атаковать выключенный сервер

Эксперт компании SANS Technology Institute Йоханнес Ульрих описал возможность хакерской атаки на отключенный сервер. Возможность для такой атаки открывает интерфейс IPMI (Intelligent Platform Management Interface). В свое время корпорация Intel создала интерфейс IPMI, как водится, из самых благих побуждений - для удалённого управления серверами, в том числе для дистанционной перезагрузки сервера, если операционная система не отвечает.

У интерфейса IPMI есть несколько характерных особенностей:

  • IPMI активен всегда, когда сервер подключён к источнику электропитания, независимо от того, включён сам сервер или нет;
  • IPMI реализован в виде самостоятельной микросхемы на материнской плате, для работы ему не требуется CPU, RAM или другие компоненты;
  • IPMI может использовать имеющуюся сетевую карту и не нуждается в отдельной сетевой плате.

В последние годы IPMI неодновратно изменялся - появлялись различные его версии и релизы. В итоге сегодня набор функций, поддерживаемых на конкретном сервере, зависит от производителя материнской платы и версии прошивки. Однако перечисленные выше функции являются общими для всех реализаций IPMI. И именно они делают возможной атаку на выключенный сервер.

Программы OpenIPMI и FreeIPMI позволяют подключиться к серверу и получить информацию с различных сенсоров. Разумеется, только если операционная система поддерживает IPMI. Главная же проблема в том, что многие системные администраторы, подобно простым пользователям, не соблюдают меры безопасности. Например, не закрывают доступ по HTTP и не меняют пароль по умолчанию для IPMI.

Причем развитие интерфейса только усугубляет проблему. Например, IPMI 1.0 работал через серийный порт, а с версии 1.5 стало возможным запускать окно терминала через IP. Версия 2.0 и вовсе содержит поддержку блейдов, vLan и дополнительные функции из современных сетевых стандартов. В последних реализациях IPMI представляет полнофункциональный сервис для удалённого управления, включая такие функции как смену прошивки на сервере.

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя batt

 Атака на выключенный сервер? а это мысль....

вот так, явно в INTEL хотели как лучше....

а получилсь?

 

Аватар пользователя Al

Для начала надо до этого сервера добраться. А это у нормального сисадмина - непростая задача. Так что рассуждения чисто теоретические. Кстати - для ASUS это чипсет с буквой Q.

Аватар пользователя mike

Рассуждения чисто теоретические

Само собой. Но журналистам хлебушко!

Аватар пользователя savely

>Так что рассуждения чисто теоретические.

 Неа, уже практические. На данный момент такого рода атаки из разряда "уже возможно, но дико дорого". 

Аватар пользователя mike

Уже возможно

И как?

Аватар пользователя savely

Дико дорого, Майк. :)) В том числе и ответ на вопрос "и как?". Конечно, атака на IPMI есть часть всей атаки на АС. 

Просто слова "Для начала надо до этого сервера добраться. А это у нормального сисадмина - непростая задача" - они о любом сервере. Хоть включенном, хоть "выключенном". До включенных добираются? Ну, а теперь и до "выключенных". Или "ломанули сервер" == "админ-дурак" в 100% случаев? 

 Да и фигня тот сервер - куча обычных современных десктопов имеют на борту AMT/IPMI. И статья - нормальное предупреждение тем же админам - "Обратите внимание!"

 

Аватар пользователя mike

Дико дорого, Майк. :)) В том числе и ответ на вопрос "и как?".

Да, надо знать не токмо публичные адреса, сервером обслуживаемые, но и адрес BMC + логин-пароль. Но с какого это перепугу общение с BMC ведётся по протоколу HTTP? Фэнтези автора или того автора, которого автор переводил? :)

Программы OpenIPMI и FreeIPMI позволяют подключиться к серверу...

Они обросли бородой.  В худшем случае злоумышленник, потратив полжизни,  может поменять коды входа в управление и заблокировать дистанционное включение. Вот и вся атака.

Разумеется, только если операционная система поддерживает IPMI.

Даже Ubuntu поддерживает. Но если мама без BMC, то с любой ОС дубльпусто.

Статья - предупреждение тем же админам - "Обратите внимание!"

Журналисту главное -- "обратить внимание". Однако, плюсую. Пользу от статьи вижу в том, что кое-кто, почитав, возможно, захочет дистанционно управлять домашним сервачком, находясь в командировке, на работе, у подружки и т.д.