alfalcone
Goto Top

HP iLO ist gefährdet (iLO 4))

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO


Aufgrund von Attacken sollten Server-Admins, die auf die Management-Software Integrated Lights-out 4 (iLO 4) von HPE setzen, prüfen, ob ihre Geräte auf dem aktuellen Stand sind und ob der Fernzugriff aktiviert ist.

Derzeit haben es unbekannte Angreifer auf offen aus dem Internet erreichbare Server abgesehen, auf denen die Management-Software Integrated Lights-out 4 (iLO 4) von HPE zum Einsatz kommt. Stimmen die Voraussetzungen, sollen sie einen Erpressungstrojaner von der Leine lassen, Festplatten verschlüsseln und Lösegeld in Höhe von zwei Bitcoin (rund 14.500 Euro) einfordern. Davor warnt ein Sicherheitsforscher auf Twitter.

Quelle: iLO ist gefährdet

Content-ID: 372352

Url: https://administrator.de/knowledge/hp-ilo-ist-gefaehrdet-ilo-4-372352.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

lcer00
lcer00 27.04.2018 aktualisiert um 07:46:53 Uhr
Goto Top
Hallo,

Bei HP findet man nur das https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docI ...

Keine Lösung möglich seit 2014 da der Fehler in der IPMI Spezifikation liegt, und nicht in deren Umsetzung in iLO

Das Foto im Artikel zeigt iLO v 2.55, was bei mir die Aktuelle Version ist.

Grüße

lcer
Lochkartenstanzer
Lochkartenstanzer 27.04.2018 um 09:33:17 Uhr
Goto Top
Moin,

Allgemein aus dem Internet erreichbare ILO-Interfaces deuten eher auf ein DenkDesginfehler beim Betreiber hin. face-smile

lks
certifiedit.net
certifiedit.net 27.04.2018 um 10:41:53 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Allgemein aus dem Internet erreichbare ILO-Interfaces deuten eher auf ein DenkDesginfehler beim Betreiber hin. face-smile

lks

Weder Denk, noch Design (oder Desgin), sondern Extreme Inkompetenz. Aber wen wundert es, schaut man sich hier um. "muss eine Lizenz lizenziert werden usw" ;)
lcer00
lcer00 27.04.2018 um 11:07:05 Uhr
Goto Top
nun gut, wer den ILO nach draußen öffnet dem ist sicher nicht zu helfen. Aber eine indirekte Angriffsmöglichkeit besteht dann ja trotzdem über bereits ins interne Netz gelangte Schadsoftware. Zumal der Artikel recht schwammig formuliert auf welche Art der Angriff erfolgt.

Vielleicht ist der Angriff von außen nur ein proof-of-concept, die nächste Stufe läuft vermittelt über andere Vektoren.

Ob es für den kompetenten Admin realistisch ist den ILO einfach zu deaktivieren erscheint für mich fraglich - schließlich wird der aus guten Gründen benutzt. Andererseits - etwas mehr Bewegung schadet dem sitzenden Schreibtischtäter auch nicht.....

Grüße

lcer
Lochkartenstanzer
Lochkartenstanzer 27.04.2018 um 12:30:23 Uhr
Goto Top
Zitat von @lcer00:

Ob es für den kompetenten Admin realistisch ist den ILO einfach zu deaktivieren erscheint für mich fraglich - schließlich wird der aus guten Gründen benutzt. Andererseits - etwas mehr Bewegung schadet dem sitzenden Schreibtischtäter auch nicht.....

Meistens ist das ILO Ja übe reinen eigenen Port ans Netz angeschlossen. Dieser sollte in einem extra VLAN oder Segment laufen. (oder der Stecker gezogen, bzw gar nicht erst eingesteckt werden).

Der Bug ist zwar kritisch, aber man kann doch durch organisatorische Maßnahmen einiges von seiner Gefährlichkeit abmildern.

lks
lcer00
lcer00 27.04.2018 um 13:06:15 Uhr
Goto Top
Hallo,

Meistens ist das ILO Ja übe reinen eigenen Port ans Netz angeschlossen. Dieser sollte in einem extra VLAN oder Segment laufen. (oder der Stecker gezogen, bzw gar nicht erst eingesteckt werden).

Der Bug ist zwar kritisch, aber man kann doch durch organisatorische Maßnahmen einiges von seiner Gefährlichkeit abmildern.

Genau. Also ich habe den Switchport, an dem der iLO hängt einfach deaktiviert. Bei Bedarf kann ich den vom Schreibtisch aus wieder aktivieren.

Grüße

lcer
Dr.EVIL
Dr.EVIL 30.04.2018 um 14:53:35 Uhr
Goto Top
Man kann übrigens auch iLO4 sicherer machen, in dem man IPMI einfach abschaltet:
Ab Firmware 2.52 befindet sich unter "Administration" und "Access Settings" unten links das Feld "IPMI/DCMI over LAN Access".
Einfach auf "Disabled" stellen und man hat Ruhe vor Erpressern und Management-Software von anderen Anbietern als HPE... face-wink
(SNMP bei dieser Gelegenheit am Besten ebenfalls abschalten!)
Ex0r2k16
Ex0r2k16 24.07.2019 um 13:07:54 Uhr
Goto Top
Nunja...rein theoretisch könnte der Praktikant ja das ILO Interface aus Versehen in die DMZ stecken, wo dann aus Versehen ein DHCP ne IP zu würfelt, die aus Versehen ins Internet darf.

Wenn ich mich so höre...gar nicht mal so fernab der Realität :D Dafür hat man schon zu viel gesehen oder gehört.
knowledgebase2020
knowledgebase2020 16.01.2020 um 10:24:22 Uhr
Goto Top
Gibt es bekanntes Problem dass iLO vernünftige Daten unter System anzeigt nachdem 'Disabled' "IPMI/DCMI over LAN Access".
Welche Windows-Dienst werden beeinflusst. Lg