Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties
Submitter: Lesilhouette

Duizenden servers die over een Supermicro-moederbord beschikken blijken vatbaar voor een kritiek beveiligingsprobleem. Daardoor zijn de wachtwoorden van administrators eenvoudig te achterhalen.

HackerHet beveiligingsprobleem heeft betrekking op de zogeheten baseboard management controller, waarmee de fysieke status van servers kan worden gecontroleerd. Het gaat hierbij bijvoorbeeld om het bekijken van de servertemperaturen en de snelheden van de ventilatoren.

De bmc van Supermicro bevat een binair bestand waarin de wachtwoorden voor remote logins als platte tekst worden opgeslagen. Dat bestand kan eenvoudig worden gedownload door met poort 49152 te verbinden, zo bevestigen onderzoekers van CARI.net en beveiligingsinstituut Sans.

De onderzoekers van CARI.net vonden tijdens een scan bijna 32.000 servers waarbij de wachtwoorden waren in te zien. In ruim drieduizend gevallen bleek het wachtwoord uit de standaardcombinatie te bestaan. Daarbij gaat het onder andere om wachtwoorden die 'password' bevatten. Supermicro heeft nog niet op het beveiligingsprobleem gereageerd.

Moderatie-faq Wijzig weergave

Reacties (38)

Het zou gaan om de Nuvoton WPCM450 controller chip. Voor Supermicro gebruikers dus even controleren of hun IPMI hier geen gebruik van maakt. En indien dit wel het geval is kan de firmware hier in de meeste gevallen van geupdate worden. Mocht dit niet lukken dan moet je er voor zorgen dat IPMI alleen benaderbaar is vanaf een lokaal (VPN) netwerk.

Tijdelijke oplossing voor als bovenstaande niet werkt:
Besides flashing, there is another (albeit unsupported) temporary fix. Most of the systems affected by this particular issue also have their “sh” shell accessible from the SMASH command line. If you login to the SMASH via ssh and run the command “shell sh”, you can drop into a functional SH shell. From there you can actually kill all “upnp” processes and their related children, which provides a functional fix. That is of course until the system is completely disconnected from power and reconnected, during which the IPMI module will reboot. This is what I have done for our own systems that were unable to be permanently fixed at this time. After continual monitoring, I am satisfied with the results and there has not been any noticeable impact on functionality.

[Reactie gewijzigd door nanoChip op 20 juni 2014 22:30]

Hmm, als ik een firmware upgrade doe, dan zegt hij dat ik al de huidige heb (3.13), en die is jaren oud. Is er wel een upgrade?

Mainbord is een X8SIL-F met de Nuvoton WPCM450.

[Reactie gewijzigd door halfgaar op 23 juni 2014 09:17]

X7SPA-HF met WPCM450, instructies opgevolgd, maar die bevat geen upnp processen
x9scm-f, populair onder de DIY serveraars. Het zou fijn zijn als SM op z'n minst een lijst met getroffen hardware zou opstellen.

[Reactie gewijzigd door analog_ op 21 juni 2014 13:37]

Commotie om niets. Deze lekken zijn al lang geleden gefixed. Gebruikers moeten alleen wel hun firmware updaten af en toe.

Firmware versies 3.xx hebben dit probleem niet.

Daarnaast is het apart dat Supermicro er uit gelicht wordt, andere merken met dezelfde oplossing hebben namelijk hetzelfde lek gehad (en inmiddels waarschijnlijk dus ook al lang gepatcht).

Tweakers had zelf contact op kunnen nemen met Supermicro om het nieuws compleet te hebben in plaats van klakkeloos informatie over te nemen van andere websites.

[Reactie gewijzigd door DizzyMan25 op 22 juni 2014 10:21]

Beste Alle,

Ik werk bij een bedrijf dat Supermicro servers assembleert.

En ik heb een tijdje geleden over deze bmc lek gehoord. Het originele bericht hierover komt uit eind 2013. Supermicro heeft dit jaar een firmware update gereleased met daarin heel veel securty checks.

Je moet zorgen dat je firmware versie 3.xx hebt voor je moederbord. Het maakt niet uit welke moederbord type je hebt.
Als je dat niet hebt, neem dan gelijk contact op met je leverancier/Supermicro voor een firmware update.

Ik raad iedereen het aan om zijn bmc firmware dubbel te checken.

mvg,

A.
"Het gaat hierbij bijvoorbeeld om het bekijken van de servertemperaturen en de snelheden van de ventilatoren."

Dit klinkt wel erg onschuldig. Misschien goed om erbij te vermelden dat je via IPMI ook de /dev/console van je server kan bekijken *en* bedienen, en dat ook de ACPI controls van de server te bedienen zijn; dus je server uitzetten, rebooten of powercyclen. Best een serieus probleem dus als je dit open hebt staan naar het internet, of er nou een bug in zit of niet.
ik neem echter aan dat je dan een nieuwe sessie start, en dat je je server nooit onbeheerd maar ingelogd achter laat, dus als ze een console openen - zou dat nog niets uit mogen maken tot je een adminpaswoord hebt... die dus blijkbaar zo uit te lezen is ...
Console toegang en een powercycle kunnen uitvoeren betekent bij 99/100 servers full access, dmv single user mode booten.
Je kan dan ook gewoon in de BIOS setup komen en een virtuele schijf inpluggen waar je gewoon van kan booten, dan ben je toch echt het haasje ja :')
Lekker handig ook van de betreffende systeembeheerders om de IPMI interface te verbinden met Internet. Toch echt een standaard handeling om wanneer deze op afstand uit te lezen moeten zijn (bijv. voor server monitoring op afstand) om dit via een VPN te doen.
Daar ben ik inderdaad mee eens, maar normaal hebben de IPMI ook een eigen IP tenzij het shared is. Als je een VPN hebt is dat inderdaad veel veiliger maar als je een shared colocatie hebt, dan heb je nog steeds kans dat je buurman jouw server probeert over te nemen.

Het is altijd een No Go om het aan te sluiten op het internet.
Daarom bouw ik altijd een mikrotik routerboard in een colo server (in het geval van een losse colo). Als je server aanstaat voorziet hij het kaartje van stroom en zal hij werken (het is niet afhankelijk van je OS of deze wel of niet boot.)

Zo kun je altijd een VPN opzetten met je routerboard om vervolgens via een cross kabel de IPMI interface te beheren.

Helemaal top, want je hebt nu ook de mogelijkheid om 2 poorten als bridge in te stellen zodat je buiten je OS om een firewall kan beheren. dus mocht je server om de een of andere reden compromised zijn dan kun je via je mikrotik kaartje alle connecties monitoren en blocken indien nodig.
Nou ja standaard?? Dat zou niet handig zijn. Zelfs ILO zou ik net op het internet aangesloten willen hebben..

Gewoon op een apart VLAN waarmee je via een jumpserver bij de management consoles van de machines zou kunnen.. Vanaf buiten zou je dus eerst een VPN op moeten. Dan conecteren naar een Jumpserver Die weer connectie maakt naar je management consoles..

Standaard op het internet zetten en denken dat het veilig is is zo naïef als het maar kan zijn..
Dat zeg ik toch ook? Best practice is uiteraard niet aansluiten op internet maar inderdaad in een management Vlan alleen bereikbaar vanaf geselecteerde stations. Er zijn echter ook scenario's dat een bedrijf wil dat de interface wel remote beschikbaar moet zijn (bijv. een centrale monitor server in combinatie met nevenvestigingen zonder eigen monitoring, of in het geval van monitoring door een externe IT leverancier, een dienst waar ook redelijk wat MKB bedrijven gebruik van maken) en dan is het toch echt een standaard handeling om dit via een VPN aan te bieden en niet direct via internet.

[Reactie gewijzigd door Dennism op 20 juni 2014 22:35]

dan nog zou z'n bedrijf zijn management op een aparte vlan neer moeten zetten. nooit direct aansluiten op het lan waar elke werkstation toegang tot heeft.

en via jumpservers beschikbaar maken ook MKB bedrijven met externe leveranciers die de IT doen moeten zo werken.. Dat is gewoon stap 1 in security!
Niet netjes van Supermicro, maar waarom is poort 49152 bij zo ontzettend veel servers vanaf het internet te benaderen? Normaal zet je expliciet poorten open voor een server.

Dat vind ik een veel groter probleem eigenlijk. Want als poort 49152 netjes werd gefilterd door een firewall kan je ook het wachtwoord bestand niet downloaden. Om dezelfde reden blokkeer je ook poort 137-139 (ping of death) vanaf het internet..

Het is hier vooral de combinatie van een bug (monitoring feature?) en de open poort vanaf het internet welke het een kritiek probleem maken. Wel is het slordig van Supermicro dat de wachtwoorden als plaintext worden opgeslagen..
Ping of death ? ICMP heeft toch geen poorten? En 137,138,139 dat zijn toch Windows Filesharing/Windows RPC poorten, je blokkeert die omdat dat LAN verkeer is.
Maar dat heeft toch helemaal niks te maken met poort 137-139.
My bad; ik link naar 't verkeerde artikel; het gaat hier om Win9x en vroege NT systemen die vroeger op die poorten problemen hadden waardoor je ze kon BSOD'en (en daar werd wel eens aan gerefereerd als "ping of death").
Niet netjes van Supermicro, maar waarom is poort 49152 bij zo ontzettend veel servers vanaf het internet te benaderen? Normaal zet je expliciet poorten open voor een server.
Veel servers hangen gewoon direct aan het internet en doen firewalling op de server zelf. Deze functionaliteit echter gaat buiten het OS om.
Dat vind ik een veel groter probleem eigenlijk. Want als poort 49152 netjes werd gefilterd door een firewall kan je ook het wachtwoord bestand niet downloaden. Om dezelfde reden blokkeer je ook poort 137-139 (ping of death) vanaf het internet..
Mag toch hopen dat intussen men wel gepatcht is voor ping-of-death. Daarnaast, poorten dichtzetten? Alleen openzetten wat je nodig hebt! De rest richting internet per definitie droppen.

@edit.
Overigens helemaal eens met degenen die aangeven dat dit soort interfaces uberhaupt in een eigen afgeschermd VLAN thuis horen.

[Reactie gewijzigd door Keypunchie op 20 juni 2014 22:51]

Vergeet niet dat IPMI op een apart IP draait en je dus een externe firewall nodig hebt om die dicht te zetten. Ik zie steeds vaker dat er bij hosters puur van de windows firewall gebruik wordt gemaakt en daarmee krijg je dus niet deze voor windows onzichtbare poort/ip/device dicht
Niet netjes van Supermicro, maar waarom is poort 49152 bij zo ontzettend veel servers vanaf het internet te benaderen? Normaal zet je expliciet poorten open voor een server.
Het probleem is dat dit geen server is en in principe niet via je server loopt.

Als jij 2 servers hebt staan dan is een losse firewall handig. Echter als jij 1 server koopt dan vergeten een heleboel mensen dat die 2e netwerkaansluiting dus totaal geen firewall heeft.

Maar aan de andere kant heb je ook genoeg dedi-boeren die gewoon servers verhuren inclusief management poorten en dan is het in de low-cost sector vrij zeldzaam dat je eerst via vpn moet verbinden voordat je bij je management poort kan komen, dan kan je op je dedi-server allerlei firewall progjes / firewall vm's draaien, maar die gelden allemaal niet voor je management poort die gewoon los aan het internet hangt.
Nu gaan er vast een heleboel mensen die poort scannen met Zmap... :9
Bedoel je Zenmap, nmap's 2de officiele GUI front-end.
Hij bedoelt zmap: https://zmap.io/

Een scanner waarop je met een snelle internetverbinding het hele internet in drie kwartiertjes afscant.
Interessant. Die kende ik nog niet: er is ook nog Dan Kaminsky's scanrand. Ik vermoed dat deze net zoals scanrand heel makkelijk te detecteren is, sinds het zich richt op zoveel mogelijk in zo weinig mogelijk tijd.
Yep, scanrand gebruikt ongeveer dezelfde trucjes, maar Zmap is uit eigen ervaring nog een heel stuk sneller.
Dit doet mij denken aan die campagne van de politie ooit.
"Buit er uit, deur op slot".
Wie diens deur niet op slot had, of zichtbaar 'dat wil een dief wel jatten' spul in de auto, kon een boete krijgen. Die wet is volgens mij nooit opgeheven, maar wel vergeten.

Waarom mogen deze bedrijven die -1 faal software / hardware maken sanctie-loos voortgaan!?
In jouw voorbeeld zou dus de auto fabrikant moet dan ook een boete krijgen?

Als beheerder moet je je boel ook goed op orde hebben, door niet zomaar bepaalde poorten open hebben staan op internet. In vergelijking met jou voorbeeld: de beheerder moet de deur op slot doen. Dan ziet ook niemand wat er achter ligt.
Ja, of de sloten-leverancier, indien de sloten gewoon met een willekeurig langwerpig plat voorwerpen open te draaien zijn.

Daarbij is een auto-slot niet echt bescherming tegen diefstal van dingen uit je auto, een ruit is zo ingetikt.
Dan kun je het beter gaan vergelijken met een maffia/presidentiële limo die gepantserd is.

Om te verlangen dat men 65535 poorten dicht doet, en dan open wat moet, überhaupt daar kennis van heeft is wel heel erg alles bij de klant leggen.

In jouw voorbeeld ga je richting: preventief niet op internet als je een externe usb, hdd, e.d. aansluit....

Er is overigens wel een officieuze sanctie : lieden die hier mee werken en het snappen, die kopen dat merk volgende keer niet weer.
Die gaan dan op zoek naar(vooraf) devices waar wachtwoorden wel encrypted op staan.

[Reactie gewijzigd door notsonewbie op 21 juni 2014 09:33]

Je gaat er hier wel van uit dat zo'n interface standaard aan staat, geconfigureerd en aangesloten is. En uit de doos zijn dit soort interfaces nooit geconfigureerd, en ook niet aangesloten. Dit is toch echt iets dat de klant zelf doet.

En ja, ik ben het met je eens dat een stukje software als deze dit soort bugs niet zou mogen bevatten, echter mag je er ook van uit gaan dat een zakelijke partij die een server als deze koopt de expertise heeft om deze ook fatsoenlijk te configureren en te firewallen. Het correct inrichten van de Infra is altijd een verantwoordelijkheid van de eigenaar van die infrastructuur, niet van de fabrikant van de server.
En daarom heb ik mijn host gevraagd om de BMC achter een gesloten VPN netwerk weg te stoppen, de supermicro IPMI interface is extreem buggy en dit is niet de eerste beveiligingslek in de bmc firmware :x
Heb hier 2 IPMI SuperMicro borden (X7SPA-HF) maar beide geven geen gehoor op poort 49152. Het is dus niet zo dat per definitie het hebben van IPMI op SuperMicro bord vatbaar is.

Bord bevat wel de Winbond® WPCM450 BMC waar de kwetsbaarheid inzit.
De bmc van Supermicro bevat een binair bestand waarin de wachtwoorden voor remote logins als
platte tekst worden opgeslagen.

Dat is toch wel iets wat men moet noemen voor een product als dit.

De onderzoekers van CARI.net vonden tijdens een scan bijna 32.000 servers waarbij de wachtwoorden

Die 32000 gingen er dus van uit dat ze geen reverse 'stemcomputer onderzoek' hoefden te doen op zo een product.

waren in te zien. In ruim drieduizend gevallen bleek het wachtwoord uit de standaardcombinatie te bestaan.

3000 van de 32.000 waren lui, nog geen 10%
Zelfs dat had niet zo veel (-als nu het geval is) uitgemaakt met een encrypted password opslag.

Supermicro heeft nog niet op het beveiligingsprobleem gereageerd.

Business zoals al normaal wordt gevonden tegenwoordig..
Elke generatie slikt meer en meer privacy afname en allerlei soorten van sturing/betutteling.

[Reactie gewijzigd door notsonewbie op 21 juni 2014 10:56]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True