visucius
Goto Top

HPEs Fernwartung iLO von Rootkit unterwandert

Na, da wünsche ich allen "HP-Admins" aber mal so richtig nen

FROHES NEUES JAHR! 😁


https://www.heise.de/news/Rootkit-schluepft-durch-Luecke-in-HPEs-Fernwar ...

Hier mal einige Zitate aus dem Artikel:

zu ILO ...
"Er kann den Server fernsteuern und ihn nicht nur ein- und ausschalten, sondern auch fernbedienen, Betriebssysteme installieren und sogar seine Firmware aktualisieren. Der Zugriff auf iLO kann über eine separate Netzwerkkarte erfolgen, aber auch aus einem installierten Betriebssystem heraus. Abschaltbar ist die Funktion nicht, sondern aktiv, sobald ein Server Strom erhält."

Zum Rootkit ...
"Die von der Firma Amnpardaz analysierte "Implant.ARM.iLOBleed.a"-Malware in der HPE-iLO-Firmware war so gebaut, dass sie regelmäßig sämtliche Datenträger des Servers löschte. Selbst wenn ein Admin den Server also neu aufgesetzt hat, zerstörte der Eindringling seine Arbeit nach einer Weile erneut. Updates der iLO-Firmware können dem Schädling laut Amnpardaz nichts anhaben"

Sowas braucht man umbedingt damit einem auch 2022 nicht langweilig wird! 😂

VG

Content-Key: 1681613572

Url: https://administrator.de/contentid/1681613572

Printed on: January 30, 2023 at 01:01 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Jan 02, 2022 updated at 12:57:45 (UTC)
Goto Top
Moin,

Das man das mit der ILO konnte ist doch ein alter Hut. Nicht umsonst empfiehlt man speziell abgesicherte Verwaltungsnetze für die ILO/BMC-Schnittstellen.

lks

PS: Wenn das bei iranischen Institutionen "ausgenutzt" wird, ist das nur ein Hinweis, daß es wie designed arbeitet. Die amerikanischen Dreibuchstabenbehörden sind für sowas bekannt.

PPS: Russiche und chinesische Sicherheitsbehörden stehen dem aber in nichts nach. face-smile
Member: Visucius
Visucius Jan 02, 2022 updated at 14:20:04 (UTC)
Goto Top
Hast Recht: Works as designed ...

https://www.golem.de/news/hpe-patch-zerstoert-77-tbyte-an-forschungsdate ...

Mein Gott, welche IT-Website man aufruft, HP-Meldungen. Ist derZensor ähh PR-Fuzzie noch beim Skifahren?!

Vielleicht doch nochmal prüfen, wo die "Achse des Bösen" in 2022 so verläuft ... wo doch in den USA jetzt "die besonders GUTEN" am Ruder sind.

😂
Member: Vision2015
Vision2015 Jan 02, 2022 at 14:02:39 (UTC)
Goto Top
moin...

na ja.. der exchange bug war ja zu einfach für anfang 2022... allerdings wer sein ILO nicht im Verwaltungsnetz hat, dem ist sowiso nicht mehr zu helfen!

Frank
Member: Lochkartenstanzer
Lochkartenstanzer Jan 02, 2022 at 14:12:36 (UTC)
Goto Top
Zitat von @Vision2015:

moin...

na ja.. der exchange bug war ja zu einfach für anfang 2022... allerdings wer sein ILO nicht im Verwaltungsnetz hat, dem ist sowiso nicht mehr zu helfen!

Und das Verwaltungsnetz muß so gestrickt sein, daß die Kisten untereinander nicht reden können, sondern nur mit den Admin-Maschinen. Denn die İLO kann man auch mit dem lokalen OS infiltrieren.

lks
Member: Visucius
Visucius Jan 02, 2022 updated at 14:36:04 (UTC)
Goto Top
Ne typische Sache, die man nutzt, um sich das Admin-Leben zu vereinfachen ... und die einem dann potenziell auf die Füße fällt.
Oder/Und wo ich auf der einen Seite ein "Sparpotenzial" hätte, dafür aber enormen Struktur-Aufwand betreibe um es abzusichern. Immer im Wissen: Es gibt keine 100% Sicherheit.

In meiner Naivität hätte ich halt erwartet, dass sowas ein "opt-in" ist. Aber nein, es ist ein "opt-out" ohne "opt-out" 😁

Gott sei Dank wissen aber "die Profis" auf was sie sich einlassen! So wie sonst auch überall. Muss man sich keine Gedanken machen ... 😉
Member: keine-ahnung
keine-ahnung Jan 02, 2022 at 18:52:59 (UTC)
Goto Top
Moin.

Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.

Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?

LG, Thomas
Member: Visucius
Visucius Jan 02, 2022 at 19:02:17 (UTC)
Goto Top
… vielleicht die selben, die auch nen Exchange ins Netz stellen? 😉
Member: Vision2015
Vision2015 Jan 02, 2022 at 19:07:31 (UTC)
Goto Top
Zitat von @keine-ahnung:

Moin.

Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.

Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?
jaaaa, die gibbet wohl, darunter auch einige root server hoster!

LG, Thomas
Frank
Member: Vision2015
Vision2015 Jan 02, 2022 at 19:08:10 (UTC)
Goto Top
Zitat von @Visucius:

… vielleicht die selben, die auch nen Exchange ins Netz stellen? 😉

was ja nicht immer ein drama sein muss!

Frank
Member: Lochkartenstanzer
Lochkartenstanzer Jan 02, 2022 at 19:13:31 (UTC)
Goto Top
Zitat von @keine-ahnung:

Moin.

Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.

Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?

Die gibt es sicher auch, aber ich meine die, die die ILO ins normale LAN hängen. und die, die zwar ein Management-Netz haben, aber das gegen "Übergriffe" von den verwalteten Stationen aus nicht gesichert sind.

lks
Member: Vision2015
Vision2015 Jan 02, 2022 at 19:27:58 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @keine-ahnung:

Moin.

Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein.

Wie darf man das verstehen? Gibt es Leute, die das ILO mit dem Nackten in's pöhse Indernädd stellen?

Die gibt es sicher auch, aber ich meine die, die die ILO ins normale LAN hängen. und die, die zwar ein Management-Netz haben, aber das gegen "Übergriffe" von den verwalteten Stationen aus nicht gesichert sind.
natürlich.. O-Ton Kunde.. natürlich muss das management netz für das produktiv netz erreichbar sein, wie soll ich den administrieren face-smile

lks