Недавно, просматривая один из моих любимых англоязычных блогов, я наткнулся на статью Дэна Фармера (того, кто создал один из первых сканеров уязвимостей в истории), название которой можно (хотя и несколько вольно) перевести как «МИУП: маленький паровозик катится в АД» .
Изучив дорогой моему сердцу Хабр, я не нашел упоминаний об этой похвальной статье и решил исправить это упущение, тем более что оно полностью соответствует моим интересам (здесь никакого расследования как такового не требовалось - Дэн исследовал все до нас, но скандальная интрига вполне прослеживается).
Итак, обо всем по порядку.
Кто такой МИУП и почему он послал к черту какой-то поезд? Те хабровчане, кто работает в больших и красивых дата-центрах, знают, что это такое (и наверняка используют по полной), для тех, кому не повезло работать в большом и красивом дата-центре, отмечу, что ИУП (в народе ИПМИ , то есть Intellectual Platform Management Interface) — интеллектуальный интерфейс управления платформой.
Он присутствует на всех серверных материнских платах и представляет собой что-то вроде встроенного KVM «на стероидах».
Эта похвальная мелочь позволяет администратору получить доступ к серверу вне зависимости от капризов BIOS, ОС и даже ЦП — а это значит, что компонент, отвечающий за работу AIUP (BMC, Baseboard Management Controller), продолжает работать даже при сервер сам выключился (но не обесточил) или завис.
Собственно, AIUP вообще крайне устойчив к различным «неприятностям», и может передавать данные (и обеспечивать доступ) в самых разных «катастрофических» ситуациях.
Разумеется, помимо собственно управления, BMC осуществляет еще и мониторинг, ведение журнала, эротический массаж, приготовление кофе и множество других добрых и похвальных дел.
Вкусный? Не совсем… Например, возникает резонный вопрос: а как этот замечательный аппарат решает вопросы аутентификации? И вот здесь начинаются проблемы.
Аутентификация происходит по паре логин/пароль, длина пароля не превышает 20 символов, при этом некоторые BMC тупо хранят их в родном виде (Делл, правда, хеши.
но без соли.
Двадцать первый век, однако.
).
Многие из них поддерживают RADIUS и т.п.
(не всегда адекватно), но почти всегда есть возможность перехода на «аварийную» базовую аутентификацию (что на самом деле вполне логично — AIUP должен продолжать работать в экстренных ситуациях, при которых аутентификация сам сервер может быть недоступен).
Но, пожалуй, самое интересное то, что если кто-то авторизуется на конкретном сервере с правами администратора, он автоматически получает полные права администратора по отношению к BMC этого конкретного сервера.
Таким образом, если кто-то (ну.
Мэллори там, например) рутировал сервер, то этот злоумышленник может дополнительно раздражать жертву, "творчески переработав" список пользователей AIUP машины или, что еще лучше, украсть логины/пароли AIUP. (Думаю, уже говорилось, что хранение паролей в ВМФ часто не очень продумано, да?), потому что архитектура МИУП такова, что повторное использование паролей вероятно.
В принципе, проблему повторного использования паролей можно в некоторой степени решить с помощью RAKP (специального протокола обмена ключами), но его использование требует серьезных навыков и не очень хорошо описано в литературе (стоит также помнить, что RAKP не будет помогите любым способом не допустить Мэллори в BMC сервера, на котором Мэллори уже получила права администратора).
Многие военно-морские силы имеют собственный веб-сервер (потому что Конечно , куда бы мы без него были, в низкоуровневой системе мониторинга и администрирования.
), что теоретически расширяет возможный репертуар «дружеских шалостей», которые может совершать Мэлори после захвата BMC на одной машине.
Обновление прошивки BMC тоже не очень продумано - во-первых, «нормально» можно прошить только специально подписанный образ от поставщика (а это значит, что если в вашей версии ИИУП обнаружена «дыра», то у вас нет остается только ждать, когда вендор соизволит написать официальное обновление), а во-вторых, для ряда «относительно бюджетных» серверных плат сами IMS производятся третьей стороной, что превращает обновление в задачу с двумя (или даже больше, потому что прошивка тоже могла быть «отдана на аутсорсинг») неизвестные.
Здесь стоит отметить, что В ходе подготовки своего материала Фармер нашел эксплойт, позволяющий получить root по SSH на BMC от «крупного вендора».
(подробности пока не разглашаются, т.к.
будучи ответственным человеком, он решил дать вендору возможность выпустить обновление) Делать вывод пока рано - на удивление, статья Фармера является чуть ли не первым материалом, пытающимся обобщить информацию о проблемах безопасности ИПМ (более того, материал активно обновляется, обрастая интересными деталями, поэтому смотреть это место ), но одно можно сказать наверняка - безопасность AIPS чертовски интересна.
Надеюсь, уважаемые хабровцы, мой скромный, беглый пересказ замечательной статьи не только позабавил вас, но и, возможно, заинтересовал еще одной забавной и необычной проблемой.
Теги: #Администрирование серверов #безопасность #Системное администрирование #серверы #сервер #удалённое управление #скандальные интриги #расследования #информационная безопасность
-
Как Создается Звук Для Другой Реальности
19 Oct, 24
