Even het objectieve en volledige verhaal:

A ransomware called JungleSec is infecting victims through unsecured IPMI (Intelligent Platform Management Interface) cards since early November.

When originally reported in early November, victims were seen using Windows, Linux, and Mac, but there was no indication as to how they were being infected. Since then, BleepingComputer has spoken to multiple victims whose Linux servers were infected with the JungleSec Ransomware and they all stated the same thing; they were infected through unsecured IPMI devices.

https://www.bleepingcomputer.com/news/security/junglesec-ransomware-infects-victims-through-ipmi-remote-consoles/

Het zou eens tijd worden. Dat er bekend wordt dat deze manier van "managen" slechtdoordacht en daardoor gevaarlijk is. Het is namelijk al jaren duidelijk dat het zogenaamde "out of band management", zoals ipmi, helemaal niet zo out-of-band meer is zodra je het aan het publieke internet hangt. Het zijn aparte processoren op het mainboard of een insteekkaart die overal toegang toe hebben, met een eigen OS en de managementapplicatie. Een OS en applicatie die beide net zo goed vol kunnen zitten met gaten, en nauwlijks bijgewerkt worden.

Heb je daar toegang toe, dan kun je alles op de machine, ongeacht welk OS erop draait.

Het probleem zit voor dit geval dan ook niet in linux, of mac, of windows, of os/2, of beos, of wat dan ook. Het probleem zit 'm in dat er een achterdeur naar de machine toe aan het netwerk gehangen is.

Dus weer een gevalletje incompetent beheer. Hoe vaak gaan we dit nog horen en waarom zijn er geen bewegingen om hier enigszins verbetering in aan te brengen?

Degenen, die erover gaan, hebben geen relevante kennis en zij die de relevante kennis bezitten, gaan er vervolgens helaas niet over. Deze stand van zaken zal nog voeren tot heel wat digitale en andere narigheid in het komend jaar.

Wie vinden het toch zo fijn om zo'n situatie in stand te houden? Deze vraag stellen geeft ook tegelijkertijd de mogelijk antwoorden. Maar ik zie hier voorlopig geen bewegingen. "The swamp stays the swamp, so much the better for the big alligators in there".

luntrus

Maar wie doet dat dan ook? Je hangt die IPMI/BMC/ILO/whatever beheer interfaces toch in je management VLAN waar
ze alleen voor beheerders bereikbaar zijn?

Precies, heeft dan ook niks met welk OS dan ook te maken maar met incompetent beheer.

Next

Niet next. Het incompetente beheer woekert door.
Juist dat niet verder dan het eigen hokje willen kijken brengt dit soort chaos en ellende.

Een acl instellen instellen voor bepaalde ip-adressen. Dikke kans dat de gilde master naar ad beheerder stapt en daar niet verder komt.

Waarom heeft dit artikel het specifiek over Linux-servers? IPMI staat totaal los van het geinstalleerde besturingssysteem.

Dat is het idee, maar dan heb je dus twee lijntjes per server nodig, plus iets van een bastionhost. Maar voor colo is dat vaak alweer een brug te ver. Of voor budgetservertjes met maar één netwerkpoort*.

Op die manier wordt "alles wordt ethernet" een vloek in plaats van een zegen. Het was imo veel beter geweest om management niet over kvm (en dus later kvm-over-ethernet en daarna datzelfde ingebouwd in de server zelf) te doen, maar over (een snellere variant van) serieel. Eventueel met extra features erbijin. Dan heb je een apart "iets" dat overduidelijk een aparte infrastructuur nodig heeft (eigen doosjes met eigen plugjes, en een netwerkplug om tegelijk een heel rack te kunnen bedienen, maar dus niet bij de servers zelf erbijingefrommeld), een boel minder complexiteit in de servers, en dus twee keer minder risico dat "perongeluk" management- en productiedata doorelkaar gaan lopen. Wat hier dus uiteindelijk het probleem is, in de hand gewerkt door de ipmi-opzet van kvm-over-ethernet.

Het is dus niet alleen maar "incompetent beheer", het is ook "de opzet van ipmi nodigt hiertoe uit".

Dit is hetzelfde soort naar de eindgebruiker (de beheerder in dit geval) wijzen als, bijvoorbeeld, "niet op de emails klikken!" Ja maar zeg nou zelf, je maakt een emailclient die het makkelijk maakt op emails te klikken, je kan niet anders anders zie je de inhoud niet, maar het dan weer niet makkelijk maakt om uit te maken welke gevaarlijk zijn en welke niet. En sowieso, hoezo zou op emails klikken gevaarlijk mogen kunnen zijn? Dat is een een-tweetje in pure faalderij van OS en applicatiemaker.

Nu mocht je vroeger van beheerders wel een beetje beter verwachten, maar kennelijk ondertussen toch niet meer. Serieel** te moeilijk, dus maar een ipmi-ip-kvm zodat er van afstand op de server geklikt kan worden. Tsja, dan krijg je dit.

* Waarbij de ipmi, net als de ime danwel psp in de southbridge, eerste toegang heeft op je netwerkverkeer. Daar kun je dus ook nog eens vrolijk mitm gaan spelen. "Security" is niet heel sterk in die contreien.
** "Real servers are headless." -- beheerderswijsheid van vroegâh.

De maatregelen zijn bij beheerders bekend net zo goed als ik weet dat ik niet te hard mag rijden.

Dus, NEXT!

Blaf tegen je huisdier 'NEXT' (woef, woef)
Als je er niet tegen kan dat anderen ook een mening hebben en/of dat je op Security.nl nagenoeg geen belemmering vindt op het uiten van een mening, ga dan a.u.b. ergens anders dictatortje spelen.

Maatregelen zijn bij sommige beheerders bekend (zeg maar technische monteurs). Dat is geen maat dat bestuurders zich wat aan die maatregelen houden. Net zoals jij weet dat je niet te hard mag rijden maar toch de bekeuringen met ANPR camera's via het CJI krijgt. Wat voor cybensecurity ontbreekt is de tegenhanger van die handhaving en bekeuring.
Het wordt pas NEXT als dat ingevuld is.

Eh nee Tesla bestuurders krijgen geen vrijstelling van de snelheidslimieten. Uitleg: een os doet er niet toe voor gedegen securitybeleid, Je zult daaraan gewoon aan moeten voldoen. Toch verbazend die pogingen van os evangelisten om niet aan regels en invullingen van voor securitypolicies te willen voldoen.

Dat is een rare omdraaiing die je daar doet. Er wordt niet ontkend dat dit machines kan raken waar Linux op draait, er wordt gevraagd waarom specifiek Linux wordt genoemd terwijl het probleem niets met het OS te maken heeft.
Niemand hierboven beweerde dat Linux daar niet aan moet voldoen, dat fantaseer je er zelf bij. De vraag was waarom het artikel Linux specifiek noemt terwijl dit zich buiten het OS afspeelt en ook niet door goed beheer van het OS afgevangen kan worden. Dezelfde vraag had gesteld kunnen worden als het artikel gekopt had dat Windows-servers of BSD-servers of wat dan ook kwetsbaar zijn. Het punt is dat dit helemaal niet over het gebruikte OS gaat.

Gaan jullie nog écht in discussie met Karma4? Nemen jullie werkelijk iemand die zó'n eenzijdige en "biased" kijk heeft op technologie nog serieus? Verspilde moeite, dus laat die vent lekker raaskallen. De man is een intrigant die van de websitebeheerders alle speelruimte krijgt, is wel gebleken. Wellicht enige connectie met de sitebeheerder?

Ik kon het niet laten om toch nog even te reageren na zo'n lange tijd. Ga ik geen gewoonte meer van maken, want ik heb niet meer zo'n hoge pet op van degene(n) die deze website beheren. Meten met twee maten is hen namelijk niet vreemd.

En oh... voel je vrij om te reageren op mijn opmerking, maar ik ga er verder toch niet op in. Ik wilde het alleen maar even kwijt, and that's it.

Ik fantaseer het niet, het wordt gezegd: https://www.security.nl/posting/587922/ISO+standaarden+voor+management
Als ik Foss Linux4 Unix als aanduiding van de persoon zie, dan wordt het gewoonlijk zeer eenzijdig. Het blijft in het OS als silo hangen terwijl de achtergronden genegeerd worden. Informatieveiligheid is meer dan een doosje beheren. Dat is nu net de kern van het redactieartikel.

Dat is niet hierboven, dat is bij een ander artikel. Daarmee reageer je hier op dingen die niet hier besproken zijn. Daarmee ben jij degene die het gezeik op dit moment gaande houdt. Stop daar eens mee en reageer op wat er hier besproken wordt.
Je hebt gelijk, het is zinloos.

L.S.

Er speelt hier toch wat meer, dunkt mij. De juiste conclusie was hier natuurlijk misbruik van een onbeveiligde interface wegens onjuiste configuratie, waarschijnlijk vanwege incompetentie. Gewoon een faal aan de kaak gesteld.

Ik loop hier op een ander vlak, waar ik meen enige relevante kennis te bezitten, opgebouwd binnenzo'n veertien jaar ervaring ook geregeld tegen aan. Het gaat om website beveiliging. Geef je aan dat de site qua veiligheidsgraad aan alle kanten rammelt met zo'n meer dan 200 aanbevelingen, antwoordt de website-beheerder dat dat wel zo kan zijn , maar dat de site niet als onveilig staat gevlagd en hij daarom e.e.a. voor kennisgeving aanneemt maar toch oproept de site zo snel mogelijk te deblokkeren.

Of er tien minuten later weer sprake van PHISHing kan zijn zal 'm een r*tzorg zijn. Het gaat hem erom dat hij genoeg impact maakt op zijn directe chef, die van dit alles ook de ballen verstand heeft> Maar deze laatste heeft het binnen deze tent eenmaal voor het zeggen en voor hem gelden heel andere uitgangspunten.

Daarnaast heeft de man inmiddels ook geen algemene vorming meer genoten, want door de huidige pretpakketten ernstig "dumbed down" en dus kunnen de google algoritmen verder gaan om via het stressen van de bitcoin bubble de koers negatioef te beinvloeden. Wat juiste communicatie en af en toe een oliespuitje reputatie-management doet wonderen op zijn tijd. Veel beloven en weinig geven doet menig online gek in vreugde leven.

Ik loop nog wel eens rond op een Hoger Instituut voor Communicatie-, Media- en IT-studies en weet dus ook uit die hoek hoe de wind waait. Mijn pertinente vraag derhalve: waarom zijn er geen tegenbewegingen? Ik erger me rot als iemand bij een TV-spelletje Mussolini in de Eerste Wereldoorlog wil plaatsen, Dan ben je met je "goede" opleiding toch al voor je Kinderstube gezakt! Dan valt er voor Baudet en consorten ook niets recht te breien. Verloren kans is verloren kans.
Voor "global management" van dit soort stuurlozen natuurlijk nooit een slechte ontwikkeling - dom en afhankelijk blijven ze.

Natuurlijk zijn de web-admins niet allemaal zo. Er zijn er nog genoeg met verantwoordingsgevoel voor de community. Daar ga je dan graag die extra mijl voor en later wensen ze je nog een Gelukkig Nieuwjaar ook. Er is dus nog een beetje hoop tussen alle overige blinde arrogantie en grove neuswijsheid. Het ga jullie goed allemaal.

luntrus

@luntrus

Veertien jaar ervaring zie ik zeker als aanzienlijk. Al heb ik dan zelf nog de tijd van ringkerngeheugens en ponskaarten meegemaakt. Maar ik heb ook genoeg jaren op mijn meter staan om nog steeds te zeggen: Gelijk hebben is voor ouwe lullen. Een gevaarlijke valkuil, naarmate de dienstjaren vorderen.

Indrukwekkend vind ik je passie voor het vak, en waarmee je het ziet in de context van de maatschappij. Daar zijn er niet veel van. Een van de grootste ongemakken van geniaal zijn is dat men daar, vrij breed genomen, een totale bloedhekel aan heeft. Men wil altijd liever denken dat men het zelf bedacht heeft. De rest stoort. Dat geldt ook voor mij. Voor heel veel wat ik weet. Als ik eerlijk ben heb ik zelfs het ringkerngeheugen en de ponskaart niet uitgevonden.

Ik heb ze wel leren begrijpen. Ook om niet te aarzelen om mijn nog brandende peuk te doven in het koffiemok of het colablikje van blind arrogant, of grove neuswijze. Zonder waarschuwing. Op het risico van eeuwig gelijk te hebben. Want dan leer ik zelf niks meer bij.

Goed doen is een ondankbaar vak. Kijk maar naar kerstmis. Hiep hiep hoera, de koning in geboren. En drie maanden laten gaat hij, al juichend door de hele buurt, weer tegen de schrootjes. Want te bijdehand.

Goed doen is nou eenmaal een zwaar vak. Doe je het té goed, dan komt op je afscheid enkel nog je moeder en je vriendin. (Voor zover ik de specs goed gelezen heb van toen...)

Wat een poeha. Het virus is gewoon via het standaard wachtwoord van de IPMI console binnengedrongen. Dat én het niet instellen van ACLs betekent gewoon dat het ding gewoon is aangekoppeld maar niet geconfigureerd. Systeembeheer nog mindercdan MBO1 dit.