Tout d'abord, un peu d'histoire sur l'IPMI - comment il est apparu et dans quel but, ainsi que les limites et les risques inhérents à ces dispositifs. Presque tous les serveurs modernes sont livrés avec un système de gestion secondaire hors bande qui permet aux administrateurs d'effectuer à distance une surveillance et une maintenance de base, même lorsque le système d'exploitation du serveur ne répond pas. Les interfaces les plus basiques permettent aux administrateurs de redémarrer le système et de surveiller son état de base, mais certains fabricants ont inclus des fonctionnalités avancées qui vont de la modification des paramètres du BIOS à l'accès à un bureau à distance et à l'installation à distance d'un nouveau système d'exploitation.
Les fabricants ont leurs propres noms pour l'interface dont vous avez peut-être entendu parler, comme HP Integrated Lights-Out (iLO), Dell Remote Access Card (DRAC) et SuperMicro Intelligent Management. Toutefois, la plupart des fabricants (notamment HP, Dell, Cisco, IBM, Intel et SuperMicro) prennent en charge un protocole normalisé pour interagir avec le contrôleur de gestion : Intelligent Platform Management Interface (IPMI). IPMI a été normalisé par Intel en 1998 et continue d'être pris en charge par la plupart des serveurs aujourd'hui.
Cependant, bien que l'IPMI apporte une valeur incroyable aux administrateurs - en particulier pour les serveurs dans les centres de données éloignés - les implémentations sont criblées de graves vulnérabilités, dont beaucoup permettent une compromission totale à distance. Dan Farmer a rédigé des articles très intéressants sur la sécurité IPMI et BMC qui valent la peine d'être consultés si le sujet vous intéresse.
Les contrôleurs sont rarement mis à jour et les fabricants sont généralement lents à réagir. Il est donc essentiel que les dispositifs IPMI ne soient jamais connectés à l'internet public.
Quels sont les risques de sécurité liés à des dispositifs IPMI non sécurisés ?
Étant donné que de nombreux dispositifs IPMI restent vulnérables aux exploits à distance et permettent un contrôle presque total d'un serveur, entre autres risques graves, la meilleure pratique consiste à ne jamais connecter les dispositifs IPMI à l'internet public.
En 2013, Dan Farmer et HD Moore ont découvert que des milliers d'appareils IPMI sur Internet utilisaient encore des mots de passe par défaut:
"Environ 5 % des BMC orientés vers l'Internet disposaient d'un mot de passe par défaut", a déclaré HD Moore. "Lors d'un test interne non scientifique, 80 % des dispositifs identifiés avaient encore un mot de passe par défaut configuré (sur 35 systèmes d'un réseau d'entreprise typique).
n gardant à l'esprit ces implications en matière de sécurité, il vaut la peine d'effectuer des analyses quotidiennes pour repérer ces services d'accès à distance et de les retirer en priorité de l'internet public.
Comment trouver le protocole IPMI avec Censys
Sur Internet, nous avons trouvé environ 128 000 instances d'IPMI.
Vous savez maintenant comment rechercher les périphériques IPMI et donner la priorité à leur suppression afin d'améliorer votre sécurité globale. Dans le même ordre d'idées, vous pouvez essayer de rechercher RDP et VNC à l'aide de Censys (mieux vaut savoir s'ils existent que de rester dans une ignorance béate, nous disons !) et prendre des mesures sur ces périphériques.
