HPEs Fernwartung iLO von Rootkit unterwandert

Visucius
Na, da wünsche ich allen "HP-Admins" aber mal so richtig nen

FROHES NEUES JAHR! 😁


https://www.heise.de/news/Rootkit-schluepft-durch-Luecke-in-HPEs-Fernwar ...

Hier mal einige Zitate aus dem Artikel:

zu ILO ...
"Er kann den Server fernsteuern und ihn nicht nur ein- und ausschalten, sondern auch fernbedienen, Betriebssysteme installieren und sogar seine Firmware aktualisieren. Der Zugriff auf iLO kann über eine separate Netzwerkkarte erfolgen, aber auch aus einem installierten Betriebssystem heraus. Abschaltbar ist die Funktion nicht, sondern aktiv, sobald ein Server Strom erhält."

Zum Rootkit ...
"Die von der Firma Amnpardaz analysierte "Implant.ARM.iLOBleed.a"-Malware in der HPE-iLO-Firmware war so gebaut, dass sie regelmäßig sämtliche Datenträger des Servers löschte. Selbst wenn ein Admin den Server also neu aufgesetzt hat, zerstörte der Eindringling seine Arbeit nach einer Weile erneut. Updates der iLO-Firmware können dem Schädling laut Amnpardaz nichts anhaben"

Sowas braucht man umbedingt damit einem auch 2022 nicht langweilig wird! 😂

VG

Content-Key: 1681613572

Url: https://administrator.de/contentid/1681613572

Ausgedruckt am: 23.01.2022 um 18:01 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.01.2022 aktualisiert um 13:57:45 Uhr
Goto Top
Moin,

Das man das mit der ILO konnte ist doch ein alter Hut. Nicht umsonst empfiehlt man speziell abgesicherte Verwaltungsnetze für die ILO/BMC-Schnittstellen.

lks

PS: Wenn das bei iranischen Institutionen "ausgenutzt" wird, ist das nur ein Hinweis, daß es wie designed arbeitet. Die amerikanischen Dreibuchstabenbehörden sind für sowas bekannt.

PPS: Russiche und chinesische Sicherheitsbehörden stehen dem aber in nichts nach. :-) face-smile
Mitglied: Visucius
Visucius 02.01.2022 aktualisiert um 15:20:04 Uhr
Goto Top
Hast Recht: Works as designed ...

https://www.golem.de/news/hpe-patch-zerstoert-77-tbyte-an-forschungsdate ...

Mein Gott, welche IT-Website man aufruft, HP-Meldungen. Ist derZensor ähh PR-Fuzzie noch beim Skifahren?!

Vielleicht doch nochmal prüfen, wo die "Achse des Bösen" in 2022 so verläuft ... wo doch in den USA jetzt "die besonders GUTEN" am Ruder sind.

😂
Mitglied: Vision2015
Vision2015 02.01.2022 um 15:02:39 Uhr
Goto Top
moin...

na ja.. der exchange bug war ja zu einfach für anfang 2022... allerdings wer sein ILO nicht im Verwaltungsnetz hat, dem ist sowiso nicht mehr zu helfen!

Frank
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.01.2022 um 15:12:36 Uhr
Goto Top
Zitat von @Vision2015:

moin...

na ja.. der exchange bug war ja zu einfach für anfang 2022... allerdings wer sein ILO nicht im Verwaltungsnetz hat, dem ist sowiso nicht mehr zu helfen!

Und das Verwaltungsnetz muß so gestrickt sein, daß die Kisten untereinander nicht reden können, sondern nur mit den Admin-Maschinen. Denn die İLO kann man auch mit dem lokalen OS infiltrieren.

lks
Mitglied: Visucius
Visucius 02.01.2022 aktualisiert um 15:36:04 Uhr
Goto Top
Ne typische Sache, die man nutzt, um sich das Admin-Leben zu vereinfachen ... und die einem dann potenziell auf die Füße fällt.
Oder/Und wo ich auf der einen Seite ein "Sparpotenzial" hätte, dafür aber enormen Struktur-Aufwand betreibe um es abzusichern. Immer im Wissen: Es gibt keine 100% Sicherheit.

In meiner Naivität hätte ich halt erwartet, dass sowas ein "opt-in" ist. Aber nein, es ist ein "opt-out" ohne "opt-out" 😁

Gott sei Dank wissen aber "die Profis" auf was sie sich einlassen! So wie sonst auch überall. Muss man sich keine Gedanken machen ... 😉
Mitglied: keine-ahnung
keine-ahnung 02.01.2022 um 19:52:59 Uhr
Goto Top
Moin.

Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.

Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?

LG, Thomas
Mitglied: Visucius
Visucius 02.01.2022 um 20:02:17 Uhr
Goto Top
… vielleicht die selben, die auch nen Exchange ins Netz stellen? 😉
Mitglied: Vision2015
Vision2015 02.01.2022 um 20:07:31 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin.

Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.

Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?
jaaaa, die gibbet wohl, darunter auch einige root server hoster!

LG, Thomas
Frank
Mitglied: Vision2015
Vision2015 02.01.2022 um 20:08:10 Uhr
Goto Top
Zitat von @Visucius:

… vielleicht die selben, die auch nen Exchange ins Netz stellen? 😉

was ja nicht immer ein drama sein muss!

Frank
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.01.2022 um 20:13:31 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin.

Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.

Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?

Die gibt es sicher auch, aber ich meine die, die die ILO ins normale LAN hängen. und die, die zwar ein Management-Netz haben, aber das gegen "Übergriffe" von den verwalteten Stationen aus nicht gesichert sind.

lks
Mitglied: Vision2015
Vision2015 02.01.2022 um 20:27:58 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @keine-ahnung:

Moin.

Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.

Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?

Die gibt es sicher auch, aber ich meine die, die die ILO ins normale LAN hängen. und die, die zwar ein Management-Netz haben, aber das gegen "Übergriffe" von den verwalteten Stationen aus nicht gesichert sind.
natürlich.. O-Ton Kunde.. natürlich muss das management netz für das produktiv netz erreichbar sein, wie soll ich den administrieren :-) face-smile

lks

Heiß diskutierte Beiträge
question
Alternative für MS TeamsBlackDevilVor 1 TagFrageVideo & Streaming5 Kommentare

Servus Zusammen, ich arbeite eigentlich grundsätzlich remote, was eben auch Kundengespräche und -beratung inkludiert. Bisher mache ich das über MS Teams, was im Grundsatz auch ...

question
Analog Telefonanschluss aufs Netzwerk bringenpeter91gVor 1 TagFrageISDN & Analoganschlüsse13 Kommentare

Hallo zusammen, ich habe aktuell ein Router von meinem Provider welcher im Bridge-Modus geschalten ist. Dadurch kann ich die Festnetztelefonie nur über den Analog-Anschluss am ...

question
Verständnisproblem SubnettingKarolaVor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...

question
Syntax zum Mappen einer Freigabe auf einem RDSH gelöst mtcmtcVor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, ich starte normalerweise eine rdp-Datei um mich vom HomeOffice auf meinen RDSH-Client in der Firma zu verbinden. -> also kein Problem Auf diesem ...

question
Apps mit riesigen Datenbank verbindenBella21Vor 1 TagFrageEntwicklung4 Kommentare

Hallo alle zusammen, ich suche nach einer Lösung für einen APP. Der Datenbank ist riesig mehr als 10GB, da die komplette Datenbank nicht auf das ...

question
Umgestaltung HeimnetzwerkPaulePilsVor 1 TagFrageNetzwerke1 Kommentar

Hallo zusammen, ich bin seit heute neu im Forum, deshalb hoffe ich, dass meine Beitrag an der richtigen Stelle platziert ist :-) Ich würde mich ...

question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 11 StundenFrageRouter & Routing4 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
Hyper V Maschine (Windows 10 Pro) auf Server2022 langsam gelöst factxyVor 1 TagFrageHyper-V6 Kommentare

Hallo, ich habe einen neuen Server2022 augesetzt und dort von einem 2016er Server eine Windows10 HyperV erst exportiert dann am 2022er importiert. Soweit mit gleicher ...