Архив за Ноябрь 2013

IPMI интерфейс в серверах Supermicro

Ожидаю, что все читатели моего блога знают что такое IPMI. Очень часто хостинг компании предоставляют бесплатный доступ к данному интерфейсу у арендуемых серверов, достаточно часто это реализовано при помощи присвоения публичного IP адреса.

Так как сервера Supermicro достаточно популярны среди Российских хостинг компаний, то в свете недавно обнаруженных ошибок в программном обеспечении IPMI модулей данной компании я рекомендую:

1) Обновить версию прошивки для IPMI на последнюю, для платформ на базе материнской платы X9 актуальная версия – это 3.15.

2) Задать список IP адресов, с которых разрешен доступ к IPMI,  при помощи IP Access Control (раздел 2.8.14 документации по IPMI).

Напомню, что при указании IP адресов для доступа к IPMI – последний IP адрес должен быть формата 0.0.0.0/0 и правилом обработки DENY, иначе ограничение доступа по IP НЕ будет работать.

Для тех, кто считает что данные настройки только усложнят работу, рекомендую почитать статью A Penetration Tester’s Guide to IPMI and BMCs в которой явно описан способ получения root доступа на сервере при получении администраторского доступа к IPMI. Да для этого потребуется перезагрузка сервера, но что мешает ее сделать в ночь с пятницы на субботу, когда все спят?

К сожалению данная проблема затрагивает всех владельцев платформы Supermicro с доступным из сети Интернет IPMI интерфейсом, так как известны случаи взлома серверов с отличными от X9 материнскими платами.