Zunächst ein paar Hintergrundinformationen zu IPMI - wie es entstanden ist und zu welchem Zweck, sowie die Einschränkungen und Risiken, die mit diesen Geräten verbunden sind. Fast alle modernen Server werden mit einem sekundären Out-of-Band-Verwaltungssystem ausgeliefert, das es Administratoren ermöglicht, grundlegende Überwachungs- und Wartungsarbeiten aus der Ferne durchzuführen - selbst wenn das Betriebssystem des Servers nicht reagiert. Die einfachsten Schnittstellen ermöglichen es den Administratoren, das System neu zu starten und den grundlegenden Zustand zu überwachen. Einige Hersteller haben jedoch erweiterte Funktionen eingebaut, die von der Änderung der BIOS-Einstellungen bis zum Zugriff auf einen Remote-Desktop und der Remote-Installation eines neuen Betriebssystems reichen.
Die Hersteller haben ihre eigenen Namen für die Schnittstelle, von denen Sie vielleicht schon gehört haben, wie HP Integrated Lights-Out (iLO), Dell Remote Access Card (DRAC) und SuperMicro Intelligent Management. Die meisten Hersteller (einschließlich HP, Dell, Cisco, IBM, Intel und SuperMicro) unterstützen jedoch ein standardisiertes Protokoll für die Interaktion mit dem Management-Controller: Intelligent Platform Management Interface (IPMI). IPMI wurde 1998 von Intel standardisiert und wird auch heute noch von den meisten Servern unterstützt.
IPMI bietet Administratoren zwar einen unglaublichen Nutzen - insbesondere für Server in entfernten Rechenzentren -, aber die Implementierungen sind mit schwerwiegenden Schwachstellen behaftet, von denen viele eine vollständige Kompromittierung aus der Ferne ermöglichen. Dan Farmer hat einige wirklich interessante Artikel über IPMI und BMC-Sicherheit verfasst, die es wert sind, dass Sie sich mit dem Thema befassen, wenn Sie daran interessiert sind.
Steuerungen werden selten aktualisiert, und die Hersteller haben im Allgemeinen nur langsam reagiert. Daher ist es wichtig, dass IPMI-Geräte niemals mit dem öffentlichen Internet verbunden werden.
Welche Sicherheitsrisiken bergen unsichere IPMI-Geräte?
In Anbetracht der Tatsache, dass viele IPMI-Geräte nach wie vor für Remote-Exploits anfällig sind und neben anderen schwerwiegenden Risiken eine nahezu vollständige Kontrolle über einen Server ermöglichen, ist es die beste Praxis, IPMI-Geräte niemals mit dem öffentlichen Internet zu verbinden.
Im Jahr 2013 stellten Dan Farmer und HD Moore fest, dass Tausende von IPMI-Geräten im Internet immer noch Standardpasswörter verwenden:
"Etwa 5 Prozent der BMCs mit Internetzugang hatten ein Standardpasswort festgelegt", so HD Moore. "In einem unwissenschaftlichen internen Test hatten 80 Prozent der identifizierten Geräte immer noch ein Standardpasswort konfiguriert (von 35 Systemen in einem typischen Unternehmensnetzwerk)."
ufgrund dieser Sicherheitsaspekte lohnt es sich, täglich Scans durchzuführen, um diese Fernzugriffsdienste zu finden und sie vorrangig aus dem öffentlichen Internet zu entfernen.
Wie findet man das IPMI-Protokoll mit Censys
Im Internet haben wir rund 128K Instanzen von IPMI gefunden.
Jetzt wissen Sie, wie Sie nach IPMI-Geräten suchen und deren Entfernung priorisieren können, um Ihre allgemeine Sicherheit zu verbessern. Zu einem verwandten Thema können Sie versuchen, mit Censys nach RDP und VNC zu suchen (besser zu wissen, ob es sie gibt, als in seliger Unwissenheit zu verharren, sagen wir!) und Maßnahmen für diese Geräte zu ergreifen.