Primero, un poco de historia sobre IPMI: cómo surgió y para qué, así como las limitaciones y riesgos inherentes a estos dispositivos. Casi todos los servidores modernos incluyen un sistema secundario de gestión fuera de banda que permite a los administradores realizar de forma remota tareas básicas de supervisión y mantenimiento, incluso cuando el sistema operativo del servidor no responde. Las interfaces más básicas permiten a los administradores reiniciar el sistema y supervisar el estado básico, pero algunos fabricantes han incluido funciones avanzadas que van desde cambiar la configuración de la BIOS hasta acceder a un escritorio remoto e instalar remotamente un nuevo sistema operativo.
Los fabricantes tienen sus propios nombres para la interfaz, como HP Integrated Lights-Out (iLO), Dell Remote Access Card (DRAC) y SuperMicro Intelligent Management. Sin embargo, la mayoría de los fabricantes (incluidos HP, Dell, Cisco, IBM, Intel y SuperMicro) admiten un protocolo estandarizado para interactuar con el controlador de gestión: Intelligent Platform Management Interface (IPMI). IPMI fue estandarizado por Intel en 1998 y sigue siendo soportado por la mayoría de los servidores en la actualidad.
Sin embargo, mientras que IPMI proporciona un valor increíble a los administradores - en particular para los servidores en centros de datos remotos - las implementaciones están plagadas de vulnerabilidades graves, muchas de las cuales permiten el compromiso remoto completo. Dan Farmer escribió algunos artículos muy interesantes sobre la seguridad de IPMI y BMC que vale la pena leer si estás interesado en el tema.
Los controladores rara vez se actualizan y, por lo general, los fabricantes han tardado en responder. Por ello, es fundamental que los dispositivos IPMI nunca estén conectados a la Internet pública.
¿Cuáles son los riesgos de seguridad de los dispositivos IPMI inseguros?
Dado que muchos dispositivos IPMI siguen siendo vulnerables a exploits remotos y permiten un control casi completo de un servidor, entre otros graves riesgos, la mejor práctica es no conectar nunca dispositivos IPMI a la Internet pública.
Ya en 2013, Dan Farmer y HD Moore descubrieron que miles de dispositivos IPMI en Internet seguían utilizando contraseñas predeterminadas:
"Alrededor del 5 por ciento de los BMC orientados a Internet tenían configurada una contraseña por defecto", afirma HD Moore. "En una prueba interna no científica, el 80 por ciento de los dispositivos identificados aún tenían configurada una contraseña por defecto (de 35 sistemas en una red corporativa típica)".
on estas implicaciones de seguridad en mente, vale la pena realizar escaneos diarios para encontrar estos servicios de acceso remoto y priorizar su eliminación de la Internet pública.
Cómo encontrar el protocolo IPMI con Censys
En Internet, encontramos alrededor de 128.000 instancias de IPMI.
Ahora ya sabes cómo buscar dispositivos IPMI y priorizar su eliminación para mejorar tu seguridad general. En un tema relacionado, puedes intentar buscar RDP y VNC con Censys (¡mejor saber si están ahí fuera que permanecer en la feliz ignorancia, decimos!) y tomar medidas sobre esos dispositivos.
