Heartbleed не опасен для iLO 2 с точки зрения проникновения в систему, однако некоторые сканеры этой уязвимости (или попытки ее эксплуатации) полностью отключают интерфейс iLO 2 на серверах Hewlett Packard. В пятницу, 11 апреля, я таким образом потерял доступ к трем сотням серверов с модулями iLO 2-го поколения (интерфейсы iLO находятся в открытом доступе, поскольку это хостинг-серверы).
Основная часть серверов представляет собой блейд-серверы, однако атаке подверглись и несколько серверов DL. Ни iLO 3, ни SuperMicro IPMI, ни что-либо еще на соседних IP-адресах не пострадало.
Симптомы: 1) последняя версия iLO 2 v.2.23 уязвима; 2) до iLO 2 пропадает даже PING; 3) корзина (Onboard Administrator) перестает видеть сервер, не знает его типа, не знает его текущего состояния, выделяет для него мощность с резервом (внимание! этот момент может привести к отключению ряда серверов, если Dynamic Ограничение мощности включено); 4) как ни странно, iLO 2 на серверах DL продолжали отвечать на PING, но это был максимум, чего от них можно было добиться; 5) перезагрузка сервера с помощью ОС не приведет к его загрузке, поскольку (видимо) он зависает на начальной диагностике компонентов; 6) штатное выключение не помогает - сервер конечно выключается, но iLO 2 не оживает; 7) изнутри работающего сервера (из ОС) невозможно выполнить сброс или связаться (через hponcfg например) с модулем iLO 2, модуль не отвечает; 8) ситуацию можно лечить ТОЛЬКО полным отключением питания DL-серверов (через управляемые PDU или вручную), или чуть удобнее (но фактически с тем же эффектом) для блейд-серверов командой сброса сервера XX через Бортовой администратор; 9) Холодный перезапуск тоже не помогает. Самое неприятное, что в случае сильно нагруженных блейд-корзин ОА-модули, потеряв связь с серверами, не будут знать свои потребности в электропитании и начнут выделять им заведомо большие значения (2-3 раз превышает фактическое потребление).
Это заставит OA подумать, что мощности недостаточно, и может отключить некоторые серверы (или помешать их запуску).
По крайней мере, это верно, если у вас включено динамическое управление питанием.
HP не сразу признала наличие проблемы и первоначально сообщила лишь о том, что только Onboard Administrator (версия > = 4.11) уязвима к Heartbleed, а по поводу iLO это было в c04239413 написано, что все ок .
Они даже использовали выражение НЕ затронуто «HeartBleed» .
Да, с точки зрения проникновения в систему iLO не уязвим, но, к сожалению, iLO 2 оказался Impacted, да ещё как! Официальной позиции HP по вопросу отключения iLO 2 в результате сканирования на Heartbleed нет. К счастью, уже в понедельник сотрудник HP Оскар А.
Перес благословил нас бета-версией прошивки 2.25 и выложил на пробу .
Вы можете скачать отсюда .
После аппаратного сброса затронутых серверов и обновления прошивки до бета-версии 2.25 полет по-прежнему нормальный.
Если у вас iLO 2 общедоступен из Интернета, то не ждите, пока вы потеряете соединение с серверами и не сможете им управлять в критической ситуации (или просто после планового перезапуска) — обновитесь хотя бы до 2.25 beta. Альтернативой является временное ограничение публичного доступа к iLO 2 до тех пор, пока не будет выпущен и применен официальный выпуск исправленной прошивки.
Теги: #ilo #iLO2 #iLO 2 #heartbleed #информационная безопасность
-
Codefest 2018: Мы Набираем Таланты
19 Oct, 24 -
Простая Наука - Дайджест Экспериментов №37
19 Oct, 24 -
Представляем Систему Достижений На Тостере
19 Oct, 24 -
Отладчик Vim Ruby
19 Oct, 24
