Menü

Sicherheitsexperte warnt vor Server-Fernwartung

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 49 Beiträge
Von

Fernwartungsfunktion eines Supermicro-Serverboards

Der Chefentwickler HD Moore von der Firma Rapid7, die für das Angriffs-Framework Metasploit bekannt ist, mahnt zu sorgfältigem Einsatz von Server-Fernwartung. Er zeigt große Schwachstellen in den Fernwartungsprotokollen IPMI 1.5 und 2.0 auf, aber auch bei der Firmware vieler Baseboard Management Controller (BMC): Diese Chips erlauben den Zugriff aus der Ferne per Netzwerk auch dann, wenn der eigentliche Server nicht arbeitet (Out-of-Band-Management). Doch wie schon bei Industriesteuerungen, Routern mit UPnP oder Servern für serielle Ports gibt es auch bei der BMC-Firmware hanebüchene Schwächen, die Angreifer leicht ausnutzen können.

Die sind nicht grundsätzlich neu, erst im Juni hatte der Server-Anbieter Thomas-Krenn.com vor einem UPnP-Bug in der BMC-Firmware zahlreicher Server-Mainboards der Firma Supermicro gewarnt. Viele BMCs kommunizieren auch deshalb über eine separate Netzwerkbuchse, die man mit einem abgeschotteten LAN nur für die Fernwartung verbinden sollte. Doch es ist bei vielen Serverboards auch möglich, die Fernwartung so einzurichten, dass sie über einen der normalen Gigabit-Ethernet-Ports erreichbar ist. Wer sich unsicher ist, wie er seinen Server eingerichtet hat, sollte das unbedingt klären.

Ein altes Ärgernis der Server-Fernwartung sind auch fehlerhafte und falsch signierte Java-Applikationen für die Admin-Konsole.

HD Moore weist zunächst auf die Arbeiten von Dan Farmer zu IPMI-Risiken hin, der auch einen Leitfaden als PDF veröffentlicht hat. Darin erklärt Moore, wie man die aktiven Netzwerkports des BMC herausfindet und verweist auf gängige Standard-Passwörter, mit denen man problemlos Zugriff auf die Fernwartungsfunktionen der Server vieler großer Hersteller bekommt.

Per KVM-over-IP erlauben manche BMCs den Zugriff mit Maus und Tastatur auf die grafische Oberfläche und das BIOS-Setup.

Sofern im Nutz-Betriebssystem, welches auf dem jeweiligen Server läuft, ein passender Treiber für die (oft virtuelle serielle) Schnittstelle zum BMC geladen ist, kann man mit IPMI-Befehlen möglicherweise auch vom Host aus Zugriff auf den BMC bekommen. Anders herum kann man beispielsweise die KVM-over-IP-Funktion des BMC nutzen, um den Server zu steuern. HD Moore erwartet aber auch noch andere Angriffsmöglichkeiten: Manche BMC-Firmware enthält sehr alten und schlecht gewarteten Legacy-Code. Ein BMC besteht oft aus einem System-on-Chip (SoC), welches einige I/O-Ports mit einem alten Grafikchip und einem einfachen ARM- oder PowerPC-Kern kombiniert. Die Firmware-Entwickler verwenden nicht selten ältere Open-Source-Tools, die auch auf veralteten Chip-Generationen funktionieren.

Doch auch IPMI selbst hat Schwächen. Dan Farmer hat das "Cipher-0"-Problem beschrieben, mit dem sich die Authentifizierung von IPMI 2.0 umgehen lässt. HD Moore erklärt, wie man einen Server mit Metasploit auf diese Schwäche abklopft. Doch selbst mit Passwort ist IPMI 2.0 nicht unbedingt sicher, weil es das Remote Authenticated Key-Exchange Protocol (RAKP) verwendet – und sich Passwörter aus den übergebenen Hash-Werten mit Tools wie hashcat rekonstruieren lassen.

BMC von ServerEngines auf einem Intel-Serverboard.

Auf vielen Supermicro-Serverboards mit einem "F" in der Typenbezeichnung sitzen Remote-Management-BMCs des taiwanischen Herstellers Nuvoton (einer Tochter von Winbond) mit Firmware von Aten. Entwickelt wurden diese Chips von American Megatrends (AMI) als MegaRAC. Emulex hat 2010 den ehemaligen Chipsatz-Hersteller ServerEngines und dessen BMC-Produktreihe Pilot gekauft. (ciw)