11
HPEs Fernwartung iLO von Rootkit unterwandert
Na, da wünsche ich allen "HP-Admins" aber mal so richtig nen
FROHES NEUES JAHR! 😁
https://www.heise.de/news/Rootkit-schluepft-durch-Luecke-in-HPEs-Fernwar ...
Hier mal einige Zitate aus dem Artikel:
zu ILO ...
"Er kann den Server fernsteuern und ihn nicht nur ein- und ausschalten, sondern auch fernbedienen, Betriebssysteme installieren und sogar seine Firmware aktualisieren. Der Zugriff auf iLO kann über eine separate Netzwerkkarte erfolgen, aber auch aus einem installierten Betriebssystem heraus. Abschaltbar ist die Funktion nicht, sondern aktiv, sobald ein Server Strom erhält."
Zum Rootkit ...
"Die von der Firma Amnpardaz analysierte "Implant.ARM.iLOBleed.a"-Malware in der HPE-iLO-Firmware war so gebaut, dass sie regelmäßig sämtliche Datenträger des Servers löschte. Selbst wenn ein Admin den Server also neu aufgesetzt hat, zerstörte der Eindringling seine Arbeit nach einer Weile erneut. Updates der iLO-Firmware können dem Schädling laut Amnpardaz nichts anhaben"
Sowas braucht man umbedingt damit einem auch 2022 nicht langweilig wird! 😂
VG
FROHES NEUES JAHR! 😁
https://www.heise.de/news/Rootkit-schluepft-durch-Luecke-in-HPEs-Fernwar ...
Hier mal einige Zitate aus dem Artikel:
zu ILO ...
"Er kann den Server fernsteuern und ihn nicht nur ein- und ausschalten, sondern auch fernbedienen, Betriebssysteme installieren und sogar seine Firmware aktualisieren. Der Zugriff auf iLO kann über eine separate Netzwerkkarte erfolgen, aber auch aus einem installierten Betriebssystem heraus. Abschaltbar ist die Funktion nicht, sondern aktiv, sobald ein Server Strom erhält."
Zum Rootkit ...
"Die von der Firma Amnpardaz analysierte "Implant.ARM.iLOBleed.a"-Malware in der HPE-iLO-Firmware war so gebaut, dass sie regelmäßig sämtliche Datenträger des Servers löschte. Selbst wenn ein Admin den Server also neu aufgesetzt hat, zerstörte der Eindringling seine Arbeit nach einer Weile erneut. Updates der iLO-Firmware können dem Schädling laut Amnpardaz nichts anhaben"
Sowas braucht man umbedingt damit einem auch 2022 nicht langweilig wird! 😂
VG
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1681613572
Url: https://administrator.de/forum/hpes-fernwartung-ilo-von-rootkit-unterwandert-1681613572.html
Ausgedruckt am: 04.04.2025 um 08:04 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Das man das mit der ILO konnte ist doch ein alter Hut. Nicht umsonst empfiehlt man speziell abgesicherte Verwaltungsnetze für die ILO/BMC-Schnittstellen.
lks
PS: Wenn das bei iranischen Institutionen "ausgenutzt" wird, ist das nur ein Hinweis, daß es wie designed arbeitet. Die amerikanischen Dreibuchstabenbehörden sind für sowas bekannt.
PPS: Russiche und chinesische Sicherheitsbehörden stehen dem aber in nichts nach.
Das man das mit der ILO konnte ist doch ein alter Hut. Nicht umsonst empfiehlt man speziell abgesicherte Verwaltungsnetze für die ILO/BMC-Schnittstellen.
lks
PS: Wenn das bei iranischen Institutionen "ausgenutzt" wird, ist das nur ein Hinweis, daß es wie designed arbeitet. Die amerikanischen Dreibuchstabenbehörden sind für sowas bekannt.
PPS: Russiche und chinesische Sicherheitsbehörden stehen dem aber in nichts nach.
Hast Recht: Works as designed ...
https://www.golem.de/news/hpe-patch-zerstoert-77-tbyte-an-forschungsdate ...
Mein Gott, welche IT-Website man aufruft, HP-Meldungen. Ist derZensor ähh PR-Fuzzie noch beim Skifahren?!
Vielleicht doch nochmal prüfen, wo die "Achse des Bösen" in 2022 so verläuft ... wo doch in den USA jetzt "die besonders GUTEN" am Ruder sind.
😂
https://www.golem.de/news/hpe-patch-zerstoert-77-tbyte-an-forschungsdate ...
Mein Gott, welche IT-Website man aufruft, HP-Meldungen. Ist der
Vielleicht doch nochmal prüfen, wo die "Achse des Bösen" in 2022 so verläuft ... wo doch in den USA jetzt "die besonders GUTEN" am Ruder sind.
😂
moin...
na ja.. der exchange bug war ja zu einfach für anfang 2022... allerdings wer sein ILO nicht im Verwaltungsnetz hat, dem ist sowiso nicht mehr zu helfen!
Frank
na ja.. der exchange bug war ja zu einfach für anfang 2022... allerdings wer sein ILO nicht im Verwaltungsnetz hat, dem ist sowiso nicht mehr zu helfen!
Frank
Zitat von @Vision2015:
moin...
na ja.. der exchange bug war ja zu einfach für anfang 2022... allerdings wer sein ILO nicht im Verwaltungsnetz hat, dem ist sowiso nicht mehr zu helfen!
moin...
na ja.. der exchange bug war ja zu einfach für anfang 2022... allerdings wer sein ILO nicht im Verwaltungsnetz hat, dem ist sowiso nicht mehr zu helfen!
Und das Verwaltungsnetz muß so gestrickt sein, daß die Kisten untereinander nicht reden können, sondern nur mit den Admin-Maschinen. Denn die İLO kann man auch mit dem lokalen OS infiltrieren.
lks
Ne typische Sache, die man nutzt, um sich das Admin-Leben zu vereinfachen ... und die einem dann potenziell auf die Füße fällt.
Oder/Und wo ich auf der einen Seite ein "Sparpotenzial" hätte, dafür aber enormen Struktur-Aufwand betreibe um es abzusichern. Immer im Wissen: Es gibt keine 100% Sicherheit.
In meiner Naivität hätte ich halt erwartet, dass sowas ein "opt-in" ist. Aber nein, es ist ein "opt-out" ohne "opt-out" 😁
Gott sei Dank wissen aber "die Profis" auf was sie sich einlassen! So wie sonst auch überall. Muss man sich keine Gedanken machen ... 😉
Oder/Und wo ich auf der einen Seite ein "Sparpotenzial" hätte, dafür aber enormen Struktur-Aufwand betreibe um es abzusichern. Immer im Wissen: Es gibt keine 100% Sicherheit.
In meiner Naivität hätte ich halt erwartet, dass sowas ein "opt-in" ist. Aber nein, es ist ein "opt-out" ohne "opt-out" 😁
Gott sei Dank wissen aber "die Profis" auf was sie sich einlassen! So wie sonst auch überall. Muss man sich keine Gedanken machen ... 😉
Moin.
Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?
LG, Thomas
Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.
Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?
LG, Thomas
… vielleicht die selben, die auch nen Exchange ins Netz stellen? 😉
Zitat von @keine-ahnung:
Moin.
Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?
jaaaa, die gibbet wohl, darunter auch einige root server hoster!Moin.
Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.
Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?
LG, Thomas
was ja nicht immer ein drama sein muss!
Frank
Zitat von @keine-ahnung:
Moin.
Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?
Moin.
Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.
Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?
Die gibt es sicher auch, aber ich meine die, die die ILO ins normale LAN hängen. und die, die zwar ein Management-Netz haben, aber das gegen "Übergriffe" von den verwalteten Stationen aus nicht gesichert sind.
lks
Zitat von @Lochkartenstanzer:
Die gibt es sicher auch, aber ich meine die, die die ILO ins normale LAN hängen. und die, die zwar ein Management-Netz haben, aber das gegen "Übergriffe" von den verwalteten Stationen aus nicht gesichert sind.
natürlich.. O-Ton Kunde.. natürlich muss das management netz für das produktiv netz erreichbar sein, wie soll ich den administrieren Zitat von @keine-ahnung:
Moin.
Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?
Moin.
Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.
Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?
Die gibt es sicher auch, aber ich meine die, die die ILO ins normale LAN hängen. und die, die zwar ein Management-Netz haben, aber das gegen "Übergriffe" von den verwalteten Stationen aus nicht gesichert sind.
lks
