Bare-Metal-Überwachungs-Fails via IPMI, RMCP, BMC

15.9.2021

Inhaltsverzeichnis

BMCs sind diese kleinen Minicomputer in Ihren Bare-Metal-Servern. Sie wissen schon, die Dinger mit den LEDs in den großen Schränken, die Wärme und Lärm erzeugen. Aber ich liebe sie :)

Ohne hier zu technisch zu werden: IPMI ist der Name der Schnittstellenspezifikation und RMCP ist das zugrunde liegende Protokoll (für die LAN-Übertragung läuft es auf UDP, dem verbindungslosen Schwesterprotokoll von TCP).

Da diese kleinen “BMC-Computer” eng mit den übrigen Komponenten des Servers verwoben sind und über eigene Netzwerkschnittstellen verfügen, sind sie natürlich ein gutes Ziel für Angriffe aller Art.

In der Vergangenheit waren unter anderem zwei Arten von Angriffen aus dem Netz sehr beliebt: Cipher 0 und Hashdumping.

Intelligent Platform Management Interface. Predatorix / commons.wikimedia.org

Cipher 0

Cipher 0 (0 wie “Null”) ermöglichte es, ohne korrektes Passwort Änderungen am System vorzunehmen und sich schließlich mit erhöhten Rechten anzumelden. Und das bei den üblichen Herstellern HP (iLO), Dell (iDRAC) und Supermicro, die dies inzwischen mit Patches behoben haben.

Hashes im Netz

Ein weiterer Angriff besteht darin, die Passwort-Hashes von IPMI-Benutzern zu lesen. Wenn ich dies auf Testservern mit den üblichen Pentest-Frameworks oder nur mit ipmitool versuche, erhalte ich teilweise Treffer. Findet die Verwaltungssoftware das verdächtig? Nun, zumindest HP nicht, es gibt nur IPMI/RMCP-Anmelde-/Abmeldeereignisse beim Scannen mit Schweregrad “informell”. Wenn also SNMB-Traps konfiguriert sind, wird hier keiner erzeugt.

SNMP-Traps sind standardisierte, unaufgeforderte Nachrichten von einem Server an einen Logging-Server, dass ein Ereignis eingetreten ist, wie z.B. 'Papierstau' in einem Drucker oder 'eine Festplatte steht kurz vor dem Ausfall' oder sogar 'Stromausfall' oder was auch immer konfiguriert wurde.

“Was nun?” sprach Zeus

IPMI-Ereignisse sollten generell mit sinnvollen Regeln überwacht werden, meist ist dies nur extern auf einem Monitoring/Protokollserver möglich. Wie üblich sollte das Netzwerksegment, an das die BMCs angeschlossen sind (iLO, iDRAC, etc.), von anderem Datenverkehr getrennt werden, entweder physisch oder über VLANs.
Natürlich sollten auch alle anderen üblichen Vorsichtsmaßnahmen getroffen werden, wie z. B. starke Passwörter und, wenn möglich, keine Standardbenutzernamen.
Redfish (nicht zu verwechseln mit reedfish) ist eine Spezifikation für die Fernwartung von Servern über eine zustandslose und verschlüsselte Softwareschnittstelle (REST über https). Redfish wurde erstmals im August 2015 veröffentlicht und soll mittelfristig unter anderem das IPMI-over-LAN-Protokoll ersetzen.

Weitere Lektüre

Dan Farmer hat einige nützliche Artikel verfasst: