Обновите свою прошивку iLO

в 20:00, , рубрики: hp proliant, ilo, информационная безопасность, Серверное администрирование, системное администрирование, метки: ,

Приветсвую.
Если вы являетесь обладателем серверов со смотрящим наружу iLO, то вам необходимо почитать данный топик, остальным может пригодится.
Имеется в наличии HP Proliant DL360p Gen8 с iLO 4 на борту. Версия прошивки была 1.20. iLO во внешнем мире для нас необходимость.
В один прекрасный день сервер перезагрузился сам. Начали изучать вопрос и увидели в логах iLO следующее (кратко в хронологическом порядке):

IPMI/RMCP login by Administrator — 190.185.122.29(DNS name not found).
New user: backup.
Modified user: backup.
Browser login: backup — 190.185.122.14(DNS name not found).
Remote console started by: backup — 190.185.122.14(DNS name not found).
Server reset.
Host server reset by: backup.

Был создан пользователь backup с полными привилегиями.

Оказалось, кто-то воспользовался данной уязвимостью.
В целом, уязвимость модуля IPMI. На просторах интернет, кстати, лежит подробная инструкция о способе взлома. Так что если поискать, то можно найти. Обновляйтесь (скачать обновленные прошивки можно по ссылке, приведенной выше), деактивируйте логин по-умолчанию, ограничивайте доступ к iLO средствами фильтров сетевого оборудования.

P.S. Уязвимость относится к iLO 3, iLO4 и iLO CM.

Автор: kbool

Источник

Поделиться

* - обязательные к заполнению поля