Обновите свою прошивку iLO

    Приветствую.
    Если вы являетесь обладателем серверов со смотрящим наружу iLO, то вам необходимо почитать данный топик, остальным может пригодится.
    Имеется в наличии HP Proliant DL360p Gen8 с iLO 4 на борту. Версия прошивки была 1.20. iLO во внешнем мире для нас необходимость.
    В один прекрасный день сервер перезагрузился сам. Начали изучать вопрос и увидели в логах iLO следующее (кратко в хронологическом порядке):
    IPMI/RMCP login by Administrator — 190.185.122.29(DNS name not found).
    New user: backup.
    Modified user: backup.
    Browser login: backup — 190.185.122.14(DNS name not found).
    Remote console started by: backup — 190.185.122.14(DNS name not found).
    Server reset.
    Host server reset by: backup.

    Был создан пользователь backup с полными привилегиями.

    Оказалось, кто-то воспользовался данной уязвимостью.
    В целом, уязвимость модуля IPMI. На просторах интернет, кстати, лежит подробная инструкция о способе взлома. Так что если поискать, то можно найти. Обновляйтесь (скачать обновленные прошивки можно по ссылке, приведенной выше), деактивируйте логин по-умолчанию, ограничивайте доступ к iLO средствами фильтров сетевого оборудования.

    P.S. Уязвимость относится к iLO 3, iLO4 и iLO CM.
    • +20
    • 16,9k
    • 6
    Поделиться публикацией

    Похожие публикации

    Комментарии 6

      +4
      Опять — все сводится к проблеме открытого доступа к админ интерфейсу в интернете. Прячте за ACL/Firewall.
        0
        Или внутрь VPN/ssh-proxy если все-таки критически нужно, чтобы IPMI был доступен снаружи, да)
          0
          А если сервер арендованный? Там без вариантов.
          –1
          CCЗБ же — менеджмент сетку в интернеты шарить без впн.
            0
            В management Vlan доступ должен быть запрещен с улицы. Тем более ILo, console server хоть не открывайте.
            Правительство на другой планете(mgmt vlan), родной.
              0
              А я просто скажу спасибо.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое