Verschillende kwetsbaarheden in een protocol en controller die zowel in server als werkstations worden gebuikt zorgen ervoor dat aanvallers honderdduizenden servers kunnen overnemen. Daarvoor waarschuwen beveiligingsonderzoekers Dan Farmer, ontwikkelaar van SATAN (Security Administrator Tool for Analyzing Network) en HD Moore, de man achter Metasploit.

De problemen bevinden zich in de Intelligent Platform Management Interface (IPMI) protocolspecificatie en de Baseboard Management Controllers (BMC's) die dit protocol gebruiken. IPMI is een protocol om servers mee te beheren dat op de BMC draait. Het is ontworpen om communicatie tussen servermanagementtools en BMC's van meerdere fabrikanten te standaardiseren.

Aanval
Een aanvaller die een BMC kan compromitteren kan de achterliggende server overnemen. Zodra er toegang tot de server is verkregen, kan de aanvaller gegevens kopiëren, aanpassingen aan het besturingssystemen maken, een backdoor installeren, wachtwoorden stelen, Denial of Service-aanvallen uitvoeren of de harde schijf wissen.

Er zijn zes verschillende problemen in de beveiliging van BMC's ontdekt, waarvan de hoofdoorzaak in de Intelligent Platform Management Interface (IPMI) protocolspecificatie ligt.

Het gaat dan om problemen waardoor het authenticatieproces kan worden omzeild. Versie 2.0 van het IPMI protocol ondersteunt een encryptiemethode genaamd Cipher 0, die het gehele authenticatieproces omzeilt. Deze methode staat vaak standaard ingeschakeld. Verder versturen de BMC's een hash die de aanvaller kan onderscheppen en kraken en worden anonieme logins ondersteund.

Ook blijkt dat sommige BMC's het Universal Plug and Play (UPnP) protocol standaard inschakelen, zonder de mogelijkheid te geven dit uit te schakelen.

Daarnaast blijkt dat BMC's informatie over allerlei instellingen lekken en als laatste blijkt dat er geen encryptie voor opgeslagen wachtwoorden wordt gebruikt. De IPMI-specificatie stelt namelijk dat de wachtwoorden onversleuteld op de BMC moeten worden opgeslagen.

Kwetsbaar
HD Moore besloot een scan uit te voeren om te zien hoeveel kwetsbare servers er online zijn. Er werden op het IPv4-internet zo'n 308.000 BMC's aangetroffen waar IPMI was ingeschakeld. 195.000 van deze apparaten ondersteunen alleen IPMI versie 1.5, die geen enkele vorm van encryptie biedt. 113.000 apparaten bleken IPMI versie 2.0 te ondersteunen, dat verschillende ernstige ontwerpfouten bevat.

Bij 99.000 van de IPMI 2.0 systemen werden wachtwoord-hashes blootgesteld die een aanvaller zou kunnen kraken. In het geval van 53.000 IPMI 2.0 systemen kon het wachtwoord worden omzeild. Verder bleek dat 9.000 IPMI 2.0 systemen één van de 1000 veelvoorkomende wachtwoorden gebruiken.

Daarnaast werden 35.000 Supermicro BMC's ontdekt die een kwetsbare UPnP-dienst aanboden. Het is niet mogelijk om deze dienst uit te schakelen. De onderzoekers hebben advies gegeven wat hostingproviders, appliance-leveranciers en serverbeheerders kunnen doen om hun servers beter te beveiligen.

Het gaat dan onder andere om het uitschakelen van 'Cipher 0', waarmee het authenticatieproces is te omzeilen en het installeren van nieuwe firmware voor Supermicro-klanten.