image

Duizenden Nederlandse servers publiek toegankelijk via IPMI

zaterdag 23 augustus 2014, 10:10 door Redactie, 5 reacties

Onderzoekers hebben in Nederland duizenden systemen gevonden waarvan de Intelligent Platform Management Interface (IPMI) publiek toegankelijk via het internet is. Daardoor zouden kwaadwillenden toegang tot deze systemen kunnen krijgen en ze kunnen misbruiken, aldus de onderzoekers.

IPMI is een protocol om servers mee te beheren dat op de Baseboard Management Controllers (BMC's) draait. Het is ontworpen om communicatie tussen servermanagementtools en BMC's van meerdere fabrikanten te standaardiseren. Onderzoekers van de Shadowserver Foundation voerden een scan op internet uit waarbij onder andere naar publiek toegankelijke systemen werd gezocht die via IPMI benaderbaar waren en op verzoeken reageerden. In totaal reageerden 206.000 verschillende IP-adressen op de scan van de onderzoekers.

Van de ruim 92.000 hosts die alleen de IPMI 1.5 specificatie ondersteunden bleek dat bijna 80.000 hosts de "NONE authenticatie methode" ondersteunden, wat inhoudt dat er geen inloggegevens nodig zijn om toegang tot de machines te krijgen. Hoeveel van deze machines in Nederland staan wordt niet in de scanresultaten vermeld.

De meeste machines die via IPMI benaderbaar zijn werden in de Verenigde Staten gevonden, ruim 85.000. Nederland staat in het overzicht van de Shadowserver Foundation op een vierde plek met 8.000 machines. In het verleden is er vaker gewaarschuwd voor problemen met de IPMI-specificatie en het feit dat dit op een groot aantal servers staat ingeschakeld.

Reacties (5)
23-08-2014, 10:30 door [Account Verwijderd]
[Verwijderd]
23-08-2014, 14:00 door Anoniem
En nu de andere lights-out management "oplossingen" nog even, heb je er nog een paar meer. Dit is een probleem bovenop het probleem dat IPMI (en de anderen uit die familie), namelijk dat het "bolt-on" constructies zijn om je scherm en toetsenbord (en je floppy drive en je cdrom drive) te vervirtualiseren, want dan heb je je goedkope desktopje tot min of meer werkbare servert opgevijzeld.

Nadelen zijn, onder andere, dat je client software nodig hebt die best wel ingewikkeld is maar ook wel eens behoorlijk brak kon zijn (heb het eigenlijk niet anders meegemaakt, zo had ik zowel 64bits als 32bits java tegelijk nodig want anders deed de webclient het niet), en dat je naar een plaatje van een scherm zit te kijken. Dat maakt automatiseren lastig. Je kan er niet zomaar een expect script op zetten, maar hebt eerst een laag OCR nodig.

Maar er zitten dus ook beveiligingsproblemen aan vast, vrij typisch voor "bolt-on" constructies.

Betere oplossing? Echte servers bouwen. Die hebben geen grafische kaart, maar een serieele poort. Lijkt me dat je met de huidige technologie ook best serieele poorten sneller kan laten gaan. Gewoon een gigabit punt-naar-punt verbinding (dus zonder allerlei framing zoals ethernet; ik zou de line coding van spacewire/firewire afkijken) met een openboot-type BIOS erachter. Virtuele cdroms en dergelijke doe je dan daardoorheen, in het BIOS zelf. En je hele rack aan servers concentreer je in een 1u ssh-bastion-appliance met een flinke stapel van zulke serieele poorten.

Waarom we dit niet eerder bedacht hebben? Omdat teveel servertjes windows draaien en windows een beetje achterloopt met dit soort concepten. Omdat computerbouwers hiervoor "optimalizeren" en daarom grafische fratsen en muisondersteuning belangrijker vinden dan beheerbaarheid. Hadden we het gelijk goed gedaan dan hingen er niet zoveel management consoles aan het 'net, want de standaardmanier ze aan te sluiten is via een bastion host.
23-08-2014, 15:01 door Anoniem
Waarom zou je IPMI open op het internet laten staan. Kan je thuis zien welke pizza (server) afgebakken wordt.
De fysieke toegangsbeveiliging zou de eerste verdedigingslijn zijn.... weg.
23-08-2014, 17:19 door Anoniem
Door Anoniem: Waarom zou je IPMI open op het internet laten staan. Kan je thuis zien welke pizza (server) afgebakken wordt.
De fysieke toegangsbeveiliging zou de eerste verdedigingslijn zijn.... weg.
Ja precies...

MKB?
Wel weten waar een cisco-bak voor gebruikt wordt, maar niet het kan worden?
Dat samen met de meestal niet al te beste 'fabrieksinstellingen' en het is prijs. De vraag is alleen hoeveel systemen daadwerkelijk kwetsbaar zijn, gelukkig staat boot-by-LAN standaard uit en is natuurlijk lang niet ieder aangesloten endpoint 'per ongeluk' geschikt voor IPMI.

Neemt niet weg dat ik het 100% met je eens ben.
24-08-2014, 05:04 door Anoniem
Veel servers hangen bij een colo-boer zonder management-VPN. Veel klanten hebben dus niet echt keuze, of ze moeten er switches bijhangen. Dus een goeie coloboer is slim als die hier op in speelt. Of je het nou ook anders kan oplossen door zelf hardware aan te schaffen is voor velen een brug / prijskaartje te ver.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.