HP iLO ist gefährdet (iLO 4))
Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO
Quelle: iLO ist gefährdet
Aufgrund von Attacken sollten Server-Admins, die auf die Management-Software Integrated Lights-out 4 (iLO 4) von HPE setzen, prüfen, ob ihre Geräte auf dem aktuellen Stand sind und ob der Fernzugriff aktiviert ist.
Derzeit haben es unbekannte Angreifer auf offen aus dem Internet erreichbare Server abgesehen, auf denen die Management-Software Integrated Lights-out 4 (iLO 4) von HPE zum Einsatz kommt. Stimmen die Voraussetzungen, sollen sie einen Erpressungstrojaner von der Leine lassen, Festplatten verschlüsseln und Lösegeld in Höhe von zwei Bitcoin (rund 14.500 Euro) einfordern. Davor warnt ein Sicherheitsforscher auf Twitter.
Quelle: iLO ist gefährdet
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372352
Url: https://administrator.de/knowledge/hp-ilo-ist-gefaehrdet-ilo-4-372352.html
Ausgedruckt am: 22.12.2024 um 09:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
Bei HP findet man nur das https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docI ...
Keine Lösung möglich seit 2014 da der Fehler in der IPMI Spezifikation liegt, und nicht in deren Umsetzung in iLO
Das Foto im Artikel zeigt iLO v 2.55, was bei mir die Aktuelle Version ist.
Grüße
lcer
Bei HP findet man nur das https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docI ...
Keine Lösung möglich seit 2014 da der Fehler in der IPMI Spezifikation liegt, und nicht in deren Umsetzung in iLO
Das Foto im Artikel zeigt iLO v 2.55, was bei mir die Aktuelle Version ist.
Grüße
lcer
Zitat von @Lochkartenstanzer:
Moin,
Allgemein aus dem Internet erreichbare ILO-Interfaces deuten eher auf einDenkDesginfehler beim Betreiber hin.
lks
Moin,
Allgemein aus dem Internet erreichbare ILO-Interfaces deuten eher auf ein
lks
Weder Denk, noch Design (oder Desgin), sondern Extreme Inkompetenz. Aber wen wundert es, schaut man sich hier um. "muss eine Lizenz lizenziert werden usw" ;)
nun gut, wer den ILO nach draußen öffnet dem ist sicher nicht zu helfen. Aber eine indirekte Angriffsmöglichkeit besteht dann ja trotzdem über bereits ins interne Netz gelangte Schadsoftware. Zumal der Artikel recht schwammig formuliert auf welche Art der Angriff erfolgt.
Vielleicht ist der Angriff von außen nur ein proof-of-concept, die nächste Stufe läuft vermittelt über andere Vektoren.
Ob es für den kompetenten Admin realistisch ist den ILO einfach zu deaktivieren erscheint für mich fraglich - schließlich wird der aus guten Gründen benutzt. Andererseits - etwas mehr Bewegung schadet dem sitzenden Schreibtischtäter auch nicht.....
Grüße
lcer
Vielleicht ist der Angriff von außen nur ein proof-of-concept, die nächste Stufe läuft vermittelt über andere Vektoren.
Ob es für den kompetenten Admin realistisch ist den ILO einfach zu deaktivieren erscheint für mich fraglich - schließlich wird der aus guten Gründen benutzt. Andererseits - etwas mehr Bewegung schadet dem sitzenden Schreibtischtäter auch nicht.....
Grüße
lcer
Zitat von @lcer00:
Ob es für den kompetenten Admin realistisch ist den ILO einfach zu deaktivieren erscheint für mich fraglich - schließlich wird der aus guten Gründen benutzt. Andererseits - etwas mehr Bewegung schadet dem sitzenden Schreibtischtäter auch nicht.....
Ob es für den kompetenten Admin realistisch ist den ILO einfach zu deaktivieren erscheint für mich fraglich - schließlich wird der aus guten Gründen benutzt. Andererseits - etwas mehr Bewegung schadet dem sitzenden Schreibtischtäter auch nicht.....
Meistens ist das ILO Ja übe reinen eigenen Port ans Netz angeschlossen. Dieser sollte in einem extra VLAN oder Segment laufen. (oder der Stecker gezogen, bzw gar nicht erst eingesteckt werden).
Der Bug ist zwar kritisch, aber man kann doch durch organisatorische Maßnahmen einiges von seiner Gefährlichkeit abmildern.
lks
Hallo,
Genau. Also ich habe den Switchport, an dem der iLO hängt einfach deaktiviert. Bei Bedarf kann ich den vom Schreibtisch aus wieder aktivieren.
Grüße
lcer
Meistens ist das ILO Ja übe reinen eigenen Port ans Netz angeschlossen. Dieser sollte in einem extra VLAN oder Segment laufen. (oder der Stecker gezogen, bzw gar nicht erst eingesteckt werden).
Der Bug ist zwar kritisch, aber man kann doch durch organisatorische Maßnahmen einiges von seiner Gefährlichkeit abmildern.
Der Bug ist zwar kritisch, aber man kann doch durch organisatorische Maßnahmen einiges von seiner Gefährlichkeit abmildern.
Genau. Also ich habe den Switchport, an dem der iLO hängt einfach deaktiviert. Bei Bedarf kann ich den vom Schreibtisch aus wieder aktivieren.
Grüße
lcer
Man kann übrigens auch iLO4 sicherer machen, in dem man IPMI einfach abschaltet:
Ab Firmware 2.52 befindet sich unter "Administration" und "Access Settings" unten links das Feld "IPMI/DCMI over LAN Access".
Einfach auf "Disabled" stellen und man hat Ruhe vor Erpressern und Management-Software von anderen Anbietern als HPE...
(SNMP bei dieser Gelegenheit am Besten ebenfalls abschalten!)
Ab Firmware 2.52 befindet sich unter "Administration" und "Access Settings" unten links das Feld "IPMI/DCMI over LAN Access".
Einfach auf "Disabled" stellen und man hat Ruhe vor Erpressern und Management-Software von anderen Anbietern als HPE...
(SNMP bei dieser Gelegenheit am Besten ebenfalls abschalten!)