www.belgium.be Logo of the federal government

IPMI

Document
Vulnérabilités

Description

Ce rapport identifie les hôtes disposant d’un service IPMI (Intelligent Platform Management Interface) ouvert (Port 623/UDP) et accessible depuis Internet. L'IPMI est la base de la plupart des suites de gestion « Out Of Band / Lights Out » et est mise en œuvre par le Baseboard Management Controller (BMC) du serveur. Le BMC dispose d’un accès et d’un contrôle quasi complet des ressources du serveur, y compris, mais pas uniquement, de la mémoire, de l'alimentation et du stockage. Toute personne capable de contrôler un BMC (via IPMI) est susceptible de prendre le contrôle du serveur. Les instances IPMI, en général, sont connues pour être exposées à un vaste éventail de vulnérabilités, certaines plus graves que d'autres. En bref, il n’est vraiment pas conseillé d’exposer l'IPMI à Internet.

Évaluation

Les entrées de ce rapport correspondent aux hôtes dont le service IPMI est exposé à Internet. La version IPMI et les paramètres IPMI liés à la sécurité de l'hôte y figurent également. L'IPMI est un désastre total en matière de sécurité, elle peut être comparée à un malware permanent disposant d’un contrôle total sur le serveur. L'ouverture de l'IPMI (sur le port standard) exposé à Internet est une opération très dangereuse qui suscitera plus que probablement des attaques malveillantes. Une IPMI peut être configurée de façon à permettre des connexions anonymes et divulguera presque toujours sans grand effort les informations d'identification stockées. Il existe de nombreux « exploits » connus pour l'IPMI. C'est une cible si attrayante, et à la sécurité si faible, que la probabilité qu’un problème survienne est jugée élevée. En raison de la nature de l'IPMI, l'impact d'une telle attaque consiste en une prise de contrôle totale du serveur, y compris du système d'exploitation et des données qui s'exécutent sur le serveur. En outre, il est relativement facile d'extraire les informations d'identification stockées. C'est pourquoi l’impact est considéré comme très élevé.

Recommandations

  • Limitez l'accès à l'IPMI à vos réseaux internes.
  • Si un accès à distance hors réseaux est nécessaire : utilisez un VPN qui permet aux employés habilités de se connecter à l'IPMI.
  • Remplacez l’utilisateur administrateur par défaut par un nouvel utilisateur administrateur.
  • Gardez votre logiciel IPMI et votre micrologiciel à jour.
  • Mettez en place les « best practices » relatives à ce service.

Références

Shadow Server – Open IPMI Report

Shadow Server – IPMI Scanning Project

Dan Farmer – IPMI Report

US-CERT - alert TA13-207A