- PVSM.RU - https://www.pvsm.ru -
Приветсвую.
Если вы являетесь обладателем серверов со смотрящим наружу iLO, то вам необходимо почитать данный топик, остальным может пригодится.
Имеется в наличии HP Proliant DL360p Gen8 с iLO 4 на борту. Версия прошивки была 1.20. iLO во внешнем мире для нас необходимость.
В один прекрасный день сервер перезагрузился сам. Начали изучать вопрос и увидели в логах iLO следующее (кратко в хронологическом порядке):
IPMI/RMCP login by Administrator — 190.185.122.29(DNS name not found).
New user: backup.
Modified user: backup.
Browser login: backup — 190.185.122.14(DNS name not found).
Remote console started by: backup — 190.185.122.14(DNS name not found).
Server reset.
Host server reset by: backup.
Был создан пользователь backup с полными привилегиями.
Оказалось, кто-то воспользовался данной [1] уязвимостью.
В целом, уязвимость модуля IPMI. На просторах интернет, кстати, лежит подробная инструкция о способе взлома. Так что если поискать, то можно найти. Обновляйтесь (скачать обновленные прошивки можно по ссылке, приведенной выше), деактивируйте логин по-умолчанию, ограничивайте доступ к iLO средствами фильтров сетевого оборудования.
P.S. Уязвимость относится к iLO 3, iLO4 и iLO CM.
Автор: kbool
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/46986
Ссылки в тексте:
[1] данной: http://h20566.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?spf_p.tpst=kbDocDisplay&spf_p.prp_kbDocDisplay=wsrp-navigationalState%3DdocId%253Demr_na-c03844348-2%257CdocLocale%253D%257CcalledBy%253D&javax.portlet.begCacheTok=com.vignette.cachetoken&javax.portlet.endCacheTok=com.vignette.cachetoken
[2] Источник: http://habrahabr.ru/post/199532/
Нажмите здесь для печати.