Приветсвую.
Если вы являетесь обладателем серверов со смотрящим наружу iLO, то вам необходимо почитать данный топик, остальным может пригодится.
Имеется в наличии HP Proliant DL360p Gen8 с iLO 4 на борту. Версия прошивки была 1.20. iLO во внешнем мире для нас необходимость.
В один прекрасный день сервер перезагрузился сам. Начали изучать вопрос и увидели в логах iLO следующее (кратко в хронологическом порядке):
IPMI/RMCP login by Administrator — 190.185.122.29(DNS name not found).
New user: backup.
Modified user: backup.
Browser login: backup — 190.185.122.14(DNS name not found).
Remote console started by: backup — 190.185.122.14(DNS name not found).
Server reset.
Host server reset by: backup.
Был создан пользователь backup с полными привилегиями.
Оказалось, кто-то воспользовался данной уязвимостью.
В целом, уязвимость модуля IPMI. На просторах интернет, кстати, лежит подробная инструкция о способе взлома. Так что если поискать, то можно найти. Обновляйтесь (скачать обновленные прошивки можно по ссылке, приведенной выше), деактивируйте логин по-умолчанию, ограничивайте доступ к iLO средствами фильтров сетевого оборудования.
P.S. Уязвимость относится к iLO 3, iLO4 и iLO CM.
Автор: kbool
