Wachtwoorden duizenden Supermicro-servers eenvoudig te achterhalen

Duizenden servers die over een Supermicro-moederbord beschikken blijken vatbaar voor een kritiek beveiligingsprobleem. Daardoor zijn de wachtwoorden van administrators eenvoudig te achterhalen.

HackerHet beveiligingsprobleem heeft betrekking op de zogeheten baseboard management controller, waarmee de fysieke status van servers kan worden gecontroleerd. Het gaat hierbij bijvoorbeeld om het bekijken van de servertemperaturen en de snelheden van de ventilatoren.

De bmc van Supermicro bevat een binair bestand waarin de wachtwoorden voor remote logins als platte tekst worden opgeslagen. Dat bestand kan eenvoudig worden gedownload door met poort 49152 te verbinden, zo bevestigen onderzoekers van CARI.net en beveiligingsinstituut Sans.

De onderzoekers van CARI.net vonden tijdens een scan bijna 32.000 servers waarbij de wachtwoorden waren in te zien. In ruim drieduizend gevallen bleek het wachtwoord uit de standaardcombinatie te bestaan. Daarbij gaat het onder andere om wachtwoorden die 'password' bevatten. Supermicro heeft nog niet op het beveiligingsprobleem gereageerd.

Door Yoeri Nijs

Nieuwsposter

Feedback • 20-06-2014 22:02
38 • submitter: Lesilhouette

20-06-2014 • 22:02

38

Submitter: Lesilhouette

Lees meer

'Supermicro vraagt leveranciers geen onderdelen meer in China te maken'
'Supermicro vraagt leveranciers geen onderdelen meer in China te maken' Nieuws van 2 mei 2019
Nederlandse Politie en OM starten project om 'bad hosting' aan te pakken
Nederlandse Politie en OM starten project om 'bad hosting' aan te pakken Nieuws van 26 juni 2014
Cebit: Supermicro en Tyan tonen borden voor Sandy Bridge Xeons
Cebit: Supermicro en Tyan tonen borden voor Sandy Bridge Xeons Nieuws van 4 maart 2011
Cebit: Supermicro toont socket G34-moederborden en TwinBlade
Cebit: Supermicro toont socket G34-moederborden en TwinBlade Nieuws van 5 maart 2010
Supermicro toont nieuwe serverchipset Intel
Supermicro toont nieuwe serverchipset Intel Nieuws van 25 maart 2007
Meer producten en artikelen
Moederborden Servers Netwerk en systeembeheer Supermicro

Reacties (38)

-Moderatie-faq
38
38
30
10
2
7
Wijzig sortering
nanoChip 20 juni 2014 22:14
Het zou gaan om de Nuvoton WPCM450 controller chip. Voor Supermicro gebruikers dus even controleren of hun IPMI hier geen gebruik van maakt. En indien dit wel het geval is kan de firmware hier in de meeste gevallen van geupdate worden. Mocht dit niet lukken dan moet je er voor zorgen dat IPMI alleen benaderbaar is vanaf een lokaal (VPN) netwerk.

Tijdelijke oplossing voor als bovenstaande niet werkt:
Besides flashing, there is another (albeit unsupported) temporary fix. Most of the systems affected by this particular issue also have their “sh” shell accessible from the SMASH command line. If you login to the SMASH via ssh and run the command “shell sh”, you can drop into a functional SH shell. From there you can actually kill all “upnp” processes and their related children, which provides a functional fix. That is of course until the system is completely disconnected from power and reconnected, during which the IPMI module will reboot. This is what I have done for our own systems that were unable to be permanently fixed at this time. After continual monitoring, I am satisfied with the results and there has not been any noticeable impact on functionality.

[Reactie gewijzigd door nanoChip op 24 juli 2024 15:08]

halfgaar @nanoChip21 juni 2014 11:07
Hmm, als ik een firmware upgrade doe, dan zegt hij dat ik al de huidige heb (3.13), en die is jaren oud. Is er wel een upgrade?

Mainbord is een X8SIL-F met de Nuvoton WPCM450.

[Reactie gewijzigd door halfgaar op 24 juli 2024 15:08]

Maurice v/d Zwaan @nanoChip20 juni 2014 22:35
X7SPA-HF met WPCM450, instructies opgevolgd, maar die bevat geen upnp processen
analog_ @nanoChip21 juni 2014 13:37
x9scm-f, populair onder de DIY serveraars. Het zou fijn zijn als SM op z'n minst een lijst met getroffen hardware zou opstellen.

[Reactie gewijzigd door analog_ op 24 juli 2024 15:08]

Anoniem: 269599 @nanoChip22 juni 2014 10:16
Commotie om niets. Deze lekken zijn al lang geleden gefixed. Gebruikers moeten alleen wel hun firmware updaten af en toe.

Firmware versies 3.xx hebben dit probleem niet.

Daarnaast is het apart dat Supermicro er uit gelicht wordt, andere merken met dezelfde oplossing hebben namelijk hetzelfde lek gehad (en inmiddels waarschijnlijk dus ook al lang gepatcht).

Tweakers had zelf contact op kunnen nemen met Supermicro om het nieuws compleet te hebben in plaats van klakkeloos informatie over te nemen van andere websites.

[Reactie gewijzigd door Anoniem: 269599 op 24 juli 2024 15:08]

Anoniem: 603524 21 juni 2014 12:47
Beste Alle,

Ik werk bij een bedrijf dat Supermicro servers assembleert.

En ik heb een tijdje geleden over deze bmc lek gehoord. Het originele bericht hierover komt uit eind 2013. Supermicro heeft dit jaar een firmware update gereleased met daarin heel veel securty checks.

Je moet zorgen dat je firmware versie 3.xx hebt voor je moederbord. Het maakt niet uit welke moederbord type je hebt.
Als je dat niet hebt, neem dan gelijk contact op met je leverancier/Supermicro voor een firmware update.

Ik raad iedereen het aan om zijn bmc firmware dubbel te checken.

mvg,

A.
Mathijs1 20 juni 2014 22:33
"Het gaat hierbij bijvoorbeeld om het bekijken van de servertemperaturen en de snelheden van de ventilatoren."

Dit klinkt wel erg onschuldig. Misschien goed om erbij te vermelden dat je via IPMI ook de /dev/console van je server kan bekijken *en* bedienen, en dat ook de ACPI controls van de server te bedienen zijn; dus je server uitzetten, rebooten of powercyclen. Best een serieus probleem dus als je dit open hebt staan naar het internet, of er nou een bug in zit of niet.
i-chat @Mathijs120 juni 2014 23:40
ik neem echter aan dat je dan een nieuwe sessie start, en dat je je server nooit onbeheerd maar ingelogd achter laat, dus als ze een console openen - zou dat nog niets uit mogen maken tot je een adminpaswoord hebt... die dus blijkbaar zo uit te lezen is ...
Mathijs1 @i-chat21 juni 2014 01:06
Console toegang en een powercycle kunnen uitvoeren betekent bij 99/100 servers full access, dmv single user mode booten.
Sfynx @Mathijs121 juni 2014 06:29
Je kan dan ook gewoon in de BIOS setup komen en een virtuele schijf inpluggen waar je gewoon van kan booten, dan ben je toch echt het haasje ja :')
Dennism 20 juni 2014 22:15
Lekker handig ook van de betreffende systeembeheerders om de IPMI interface te verbinden met Internet. Toch echt een standaard handeling om wanneer deze op afstand uit te lezen moeten zijn (bijv. voor server monitoring op afstand) om dit via een VPN te doen.
ilaurensnl @Dennism20 juni 2014 22:28
Daar ben ik inderdaad mee eens, maar normaal hebben de IPMI ook een eigen IP tenzij het shared is. Als je een VPN hebt is dat inderdaad veel veiliger maar als je een shared colocatie hebt, dan heb je nog steeds kans dat je buurman jouw server probeert over te nemen.

Het is altijd een No Go om het aan te sluiten op het internet.
nasdude @ilaurensnl20 juni 2014 23:04
Daarom bouw ik altijd een mikrotik routerboard in een colo server (in het geval van een losse colo). Als je server aanstaat voorziet hij het kaartje van stroom en zal hij werken (het is niet afhankelijk van je OS of deze wel of niet boot.)

Zo kun je altijd een VPN opzetten met je routerboard om vervolgens via een cross kabel de IPMI interface te beheren.

Helemaal top, want je hebt nu ook de mogelijkheid om 2 poorten als bridge in te stellen zodat je buiten je OS om een firewall kan beheren. dus mocht je server om de een of andere reden compromised zijn dan kun je via je mikrotik kaartje alle connecties monitoren en blocken indien nodig.
To_Tall @Dennism20 juni 2014 22:23
Nou ja standaard?? Dat zou niet handig zijn. Zelfs ILO zou ik net op het internet aangesloten willen hebben..

Gewoon op een apart VLAN waarmee je via een jumpserver bij de management consoles van de machines zou kunnen.. Vanaf buiten zou je dus eerst een VPN op moeten. Dan conecteren naar een Jumpserver Die weer connectie maakt naar je management consoles..

Standaard op het internet zetten en denken dat het veilig is is zo naïef als het maar kan zijn..
Dennism @To_Tall20 juni 2014 22:32
Dat zeg ik toch ook? Best practice is uiteraard niet aansluiten op internet maar inderdaad in een management Vlan alleen bereikbaar vanaf geselecteerde stations. Er zijn echter ook scenario's dat een bedrijf wil dat de interface wel remote beschikbaar moet zijn (bijv. een centrale monitor server in combinatie met nevenvestigingen zonder eigen monitoring, of in het geval van monitoring door een externe IT leverancier, een dienst waar ook redelijk wat MKB bedrijven gebruik van maken) en dan is het toch echt een standaard handeling om dit via een VPN aan te bieden en niet direct via internet.

[Reactie gewijzigd door Dennism op 24 juli 2024 15:08]

To_Tall @Dennism21 juni 2014 22:45
dan nog zou z'n bedrijf zijn management op een aparte vlan neer moeten zetten. nooit direct aansluiten op het lan waar elke werkstation toegang tot heeft.

en via jumpservers beschikbaar maken ook MKB bedrijven met externe leveranciers die de IT doen moeten zo werken.. Dat is gewoon stap 1 in security!
Niemand_Anders 20 juni 2014 22:21
Niet netjes van Supermicro, maar waarom is poort 49152 bij zo ontzettend veel servers vanaf het internet te benaderen? Normaal zet je expliciet poorten open voor een server.

Dat vind ik een veel groter probleem eigenlijk. Want als poort 49152 netjes werd gefilterd door een firewall kan je ook het wachtwoord bestand niet downloaden. Om dezelfde reden blokkeer je ook poort 137-139 (ping of death) vanaf het internet..

Het is hier vooral de combinatie van een bug (monitoring feature?) en de open poort vanaf het internet welke het een kritiek probleem maken. Wel is het slordig van Supermicro dat de wachtwoorden als plaintext worden opgeslagen..
goarilla @Niemand_Anders20 juni 2014 22:34
Ping of death ? ICMP heeft toch geen poorten? En 137,138,139 dat zijn toch Windows Filesharing/Windows RPC poorten, je blokkeert die omdat dat LAN verkeer is.
RobIII @goarilla20 juni 2014 23:57
http://en.wikipedia.org/wiki/Ping_of_death ;)
goarilla @RobIII21 juni 2014 00:08
Maar dat heeft toch helemaal niks te maken met poort 137-139.
RobIII @goarilla21 juni 2014 02:41
My bad; ik link naar 't verkeerde artikel; het gaat hier om Win9x en vroege NT systemen die vroeger op die poorten problemen hadden waardoor je ze kon BSOD'en (en daar werd wel eens aan gerefereerd als "ping of death").
Anoniem: 578672 @RobIII23 juni 2014 09:17
+++ath0
CyBeR @Niemand_Anders21 juni 2014 03:13
Niet netjes van Supermicro, maar waarom is poort 49152 bij zo ontzettend veel servers vanaf het internet te benaderen? Normaal zet je expliciet poorten open voor een server.
Veel servers hangen gewoon direct aan het internet en doen firewalling op de server zelf. Deze functionaliteit echter gaat buiten het OS om.
Keypunchie @Niemand_Anders20 juni 2014 22:24
Dat vind ik een veel groter probleem eigenlijk. Want als poort 49152 netjes werd gefilterd door een firewall kan je ook het wachtwoord bestand niet downloaden. Om dezelfde reden blokkeer je ook poort 137-139 (ping of death) vanaf het internet..
Mag toch hopen dat intussen men wel gepatcht is voor ping-of-death. Daarnaast, poorten dichtzetten? Alleen openzetten wat je nodig hebt! De rest richting internet per definitie droppen.

@edit.
Overigens helemaal eens met degenen die aangeven dat dit soort interfaces uberhaupt in een eigen afgeschermd VLAN thuis horen.

[Reactie gewijzigd door Keypunchie op 24 juli 2024 15:08]

Maurice v/d Zwaan @Niemand_Anders20 juni 2014 22:27
Vergeet niet dat IPMI op een apart IP draait en je dus een externe firewall nodig hebt om die dicht te zetten. Ik zie steeds vaker dat er bij hosters puur van de windows firewall gebruik wordt gemaakt en daarmee krijg je dus niet deze voor windows onzichtbare poort/ip/device dicht
Gomez12 @Niemand_Anders20 juni 2014 23:15
Niet netjes van Supermicro, maar waarom is poort 49152 bij zo ontzettend veel servers vanaf het internet te benaderen? Normaal zet je expliciet poorten open voor een server.
Het probleem is dat dit geen server is en in principe niet via je server loopt.

Als jij 2 servers hebt staan dan is een losse firewall handig. Echter als jij 1 server koopt dan vergeten een heleboel mensen dat die 2e netwerkaansluiting dus totaal geen firewall heeft.

Maar aan de andere kant heb je ook genoeg dedi-boeren die gewoon servers verhuren inclusief management poorten en dan is het in de low-cost sector vrij zeldzaam dat je eerst via vpn moet verbinden voordat je bij je management poort kan komen, dan kan je op je dedi-server allerlei firewall progjes / firewall vm's draaien, maar die gelden allemaal niet voor je management poort die gewoon los aan het internet hangt.
Eloy 20 juni 2014 23:34
Nu gaan er vast een heleboel mensen die poort scannen met Zmap... :9
goarilla @Eloy20 juni 2014 23:55
Bedoel je Zenmap, nmap's 2de officiele GUI front-end.
Plofkotje @goarilla21 juni 2014 00:59
Hij bedoelt zmap: https://zmap.io/

Een scanner waarop je met een snelle internetverbinding het hele internet in drie kwartiertjes afscant.
goarilla @Plofkotje21 juni 2014 01:25
Interessant. Die kende ik nog niet: er is ook nog Dan Kaminsky's scanrand. Ik vermoed dat deze net zoals scanrand heel makkelijk te detecteren is, sinds het zich richt op zoveel mogelijk in zo weinig mogelijk tijd.
Plofkotje @goarilla21 juni 2014 10:15
Yep, scanrand gebruikt ongeveer dezelfde trucjes, maar Zmap is uit eigen ervaring nog een heel stuk sneller.
notsonewbie 21 juni 2014 01:30
Dit doet mij denken aan die campagne van de politie ooit.
"Buit er uit, deur op slot".
Wie diens deur niet op slot had, of zichtbaar 'dat wil een dief wel jatten' spul in de auto, kon een boete krijgen. Die wet is volgens mij nooit opgeheven, maar wel vergeten.

Waarom mogen deze bedrijven die -1 faal software / hardware maken sanctie-loos voortgaan!?
gjmi @notsonewbie21 juni 2014 07:45
In jouw voorbeeld zou dus de auto fabrikant moet dan ook een boete krijgen?

Als beheerder moet je je boel ook goed op orde hebben, door niet zomaar bepaalde poorten open hebben staan op internet. In vergelijking met jou voorbeeld: de beheerder moet de deur op slot doen. Dan ziet ook niemand wat er achter ligt.
notsonewbie @gjmi21 juni 2014 09:25
Ja, of de sloten-leverancier, indien de sloten gewoon met een willekeurig langwerpig plat voorwerpen open te draaien zijn.

Daarbij is een auto-slot niet echt bescherming tegen diefstal van dingen uit je auto, een ruit is zo ingetikt.
Dan kun je het beter gaan vergelijken met een maffia/presidentiële limo die gepantserd is.

Om te verlangen dat men 65535 poorten dicht doet, en dan open wat moet, überhaupt daar kennis van heeft is wel heel erg alles bij de klant leggen.

In jouw voorbeeld ga je richting: preventief niet op internet als je een externe usb, hdd, e.d. aansluit....

Er is overigens wel een officieuze sanctie : lieden die hier mee werken en het snappen, die kopen dat merk volgende keer niet weer.
Die gaan dan op zoek naar(vooraf) devices waar wachtwoorden wel encrypted op staan.

[Reactie gewijzigd door notsonewbie op 24 juli 2024 15:08]

Dennism @notsonewbie21 juni 2014 09:47
Je gaat er hier wel van uit dat zo'n interface standaard aan staat, geconfigureerd en aangesloten is. En uit de doos zijn dit soort interfaces nooit geconfigureerd, en ook niet aangesloten. Dit is toch echt iets dat de klant zelf doet.

En ja, ik ben het met je eens dat een stukje software als deze dit soort bugs niet zou mogen bevatten, echter mag je er ook van uit gaan dat een zakelijke partij die een server als deze koopt de expertise heeft om deze ook fatsoenlijk te configureren en te firewallen. Het correct inrichten van de Infra is altijd een verantwoordelijkheid van de eigenaar van die infrastructuur, niet van de fabrikant van de server.
Anoniem: 325463 20 juni 2014 22:14
En daarom heb ik mijn host gevraagd om de BMC achter een gesloten VPN netwerk weg te stoppen, de supermicro IPMI interface is extreem buggy en dit is niet de eerste beveiligingslek in de bmc firmware :x
Maurice v/d Zwaan 20 juni 2014 22:17
Heb hier 2 IPMI SuperMicro borden (X7SPA-HF) maar beide geven geen gehoor op poort 49152. Het is dus niet zo dat per definitie het hebben van IPMI op SuperMicro bord vatbaar is.

Bord bevat wel de Winbond® WPCM450 BMC waar de kwetsbaarheid inzit.
notsonewbie 21 juni 2014 10:05
De bmc van Supermicro bevat een binair bestand waarin de wachtwoorden voor remote logins als
platte tekst worden opgeslagen.

Dat is toch wel iets wat men moet noemen voor een product als dit.

De onderzoekers van CARI.net vonden tijdens een scan bijna 32.000 servers waarbij de wachtwoorden

Die 32000 gingen er dus van uit dat ze geen reverse 'stemcomputer onderzoek' hoefden te doen op zo een product.

waren in te zien. In ruim drieduizend gevallen bleek het wachtwoord uit de standaardcombinatie te bestaan.

3000 van de 32.000 waren lui, nog geen 10%
Zelfs dat had niet zo veel (-als nu het geval is) uitgemaakt met een encrypted password opslag.

Supermicro heeft nog niet op het beveiligingsprobleem gereageerd.

Business zoals al normaal wordt gevonden tegenwoordig..
Elke generatie slikt meer en meer privacy afname en allerlei soorten van sturing/betutteling.

[Reactie gewijzigd door notsonewbie op 24 juli 2024 15:08]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq