www.belgium.be Logo of the federal government

Beschrijving

In dit verslag worden de hosts geïdentificeerd die over een open (poort 623/udp)  Intelligent Platform Management Interface (IPMI) beschikken die toegankelijk is via internet. IPMI is de basis van de meeste Out Of Band / Lights Out management suites en wordt geïmplementeerd door de Baseboard Management Controller (BMC) van de server. De BMC heeft vrijwel volledige toegang tot en controle over de resources van de server, inclusief, maar niet beperkt tot, het geheugen, de stroomvoorziening en de opslag. Iedereen die uw BMC kan controleren (via IPMI) kan uw server besturen. Van IPMI-instances is over het algemeen bekend dat ze aan verschillende kwetsbaarheden zijn blootgesteld, de ene al ernstiger dan de andere. Kortom, u wilt IPMI echt niet blootstellen aan het internet.

Beoordeling

De elementen in dit verslag zijn hosts met een IPMI-dienst die is blootgesteld aan het internet. Ook de IPMI-versie en de veiligheidsgerelateerde IPMI-parameters van de host zijn hierin opgenomen. IPMI is een totale ramp op het vlak van veiligheid. Het kan worden vergeleken met permanente malware met totale controle over de server. Het openstellen van IPMI (op de standaardpoort) naar het internet is een zeer gevaarlijke operatie en zal met zekerheid tot kwaadaardige aanvallen leiden. Een IPMI kan zo worden geconfigureerd dat anonieme verbindingen mogelijk zijn en zal bijna altijd gemakkelijk opgeslagen gegevens lekken. Er bestaan tal van bekende exploits voor IPMI. Het is zo'n aantrekkelijk doelwit met een zwakke beveiliging, dat de waarschijnlijkheid hoog wordt beschouwd. Door de aard van IPMI is de impact van een dergelijke aanval een volledige overname van de server, inclusief het besturingssysteem en de gegevens die op de server draaien. Bovendien is het relatief eenvoudig om de opgeslagen gegevens te extraheren. Daarom wordt de impact als zeer hoog beschouwd.

    Aanbevelingen

    • Beperk de toegang tot IPMI tot uw interne netwerken.
    • Als toegang op afstand van buiten uw netwerken nodig is, gebruik dan een VPN waarmee geautoriseerde medewerkers verbinding kunnen maken met IPMI.

    Referenties

    Shadow Server – Open IPMI Report

    Shadow Server – IPMI Scanning Project

    Dan Farmer – IPMI Report

    US-CERT - alert TA13-207A