IPMI интерфейс в серверах Supermicro
Ожидаю, что все читатели моего блога знают что такое IPMI. Очень часто хостинг компании предоставляют бесплатный доступ к данному интерфейсу у арендуемых серверов, достаточно часто это реализовано при помощи присвоения публичного IP адреса.
Так как сервера Supermicro достаточно популярны среди Российских хостинг компаний, то в свете недавно обнаруженных ошибок в программном обеспечении IPMI модулей данной компании я рекомендую:
1) Обновить версию прошивки для IPMI на последнюю, для платформ на базе материнской платы X9 актуальная версия – это 3.15.
2) Задать список IP адресов, с которых разрешен доступ к IPMI, при помощи IP Access Control (раздел 2.8.14 документации по IPMI).
Напомню, что при указании IP адресов для доступа к IPMI – последний IP адрес должен быть формата 0.0.0.0/0 и правилом обработки DENY, иначе ограничение доступа по IP НЕ будет работать.
Для тех, кто считает что данные настройки только усложнят работу, рекомендую почитать статью A Penetration Tester’s Guide to IPMI and BMCs в которой явно описан способ получения root доступа на сервере при получении администраторского доступа к IPMI. Да для этого потребуется перезагрузка сервера, но что мешает ее сделать в ночь с пятницы на субботу, когда все спят?
К сожалению данная проблема затрагивает всех владельцев платформы Supermicro с доступным из сети Интернет IPMI интерфейсом, так как известны случаи взлома серверов с отличными от X9 материнскими платами.