Descripción: El host remoto soporta el protocolo IPMI, que es afectado por una vulnerabilidad de divulgación de información debido una debilidad en el protocolo de intercambio de llaves de  autenticación RAKP. Un atacante remoto puede obtener los hash de las contraseñas para cuentas validas de usuarios a través del HMAC a partir de una respuesta del mensaje 2 de RAKP  desde un BMC.

CVE: CVE-2013-4786
Factor de Riesgo: Alto
Valor CVSS Base: 7.8

Solución: Actualizar el firmware del dispositivo afectado con la última versión entregada por el fabricante.

En caso de que no hayan actualizaciones disponibles de firmware, se puede asegurar el ingreso a esta interfaz por medio de los siguientes controles:

DESHABILITAR EL SERVICIO

El servicio, puede ser deshabilitado, bien sea por la interfaz web (en caso de contar con ella) del dispositivo afectado, como por la herramienta de linea de comandos ipmitool.

Por medio de la interfaz web, en este caso la de HP iLO, se debe seguir la siguiente ruta:

Administration -> Access Settings -> IPMI/DCMI over LAN Access

Y allí seleccionar la opción Disabled en el menú desplegable.

Usando el siguiente comando de la herramienta ipmitool, se puede deshabilitar el acceso por medio de LAN:

ipmitool lan set 0x1 access off

SI SE REQUIERE TENER HABILITADO EL SERVICIO

En caso de ser requerido, se puede mitigar aplicando las siguientes recomendaciones:

1. Cambiar las credenciales de acceso que vienen preconfiguradas en el servidor al momento de ser desplegado.

2. Deshabilitar el acceso por red a IPMI de los usuarios que no requieran de este servicio por medio de ipmitool con el siguiente comando:

ipmitool channel setaccess 1 #user_slot# privilege=15

Donde en el campo #user_slot#, se ingresa la posición del usuario, entre los números 1 al 12, para cada usuario IMM o IMM2 que haya sido configurado.

3. Usar contraseñas robustas, preferiblemente de más de 16 caracteres, mezclando letras mayusculas, minusculas, números y caracteres especiales.

4. Separar o segmentar las redes donde se encuentran los hosts afectados, para minimizar el riesgo de explotación de esta vulnerabilidad.

5. Se puede implementar un servidor RADIUS e integrarlo con el sistema afectado, para que las autenticaciones hacia los dispositivos afectados se hagan por medio de un protocolo seguro.

6. Se recomienda habilitar el acceso por HTTPS con los adecuados certificados y SSH unicamente.

7. Permitir el ingreso a estas interfaces unicamente a IPs de confianza que pertenezcan a los equipos de los administradores que requieran el acceso a esta aplicación.

VMWARE

Es posible que si se deshabilita el servicio IPMI del host afectado, al iniciar VMWare se quede iniciando esperando conectividad a este servicio.

Para evitar esta incidencia, se debe realizar el siguiente procedimiento:

1. Al momento de iniciar el sistema luego de haber deshabilitado IPMI, se debe usar la combinación de teclas Shift + O y agregar noipmiEnabled como argumento de inicio.

2. Una vez iniciado el sistema, se debe ingresar por la interfaz de vSphere, se debe seleccionar la pestaña Configuration, se deben buscar las opciones avanzadas del sistema, y, en las opciones de VMKernel/Boot, desmarcar la opción VMkernel.Boot.ipmiEnabled, o, establecer el valor de esta variable a 0

Referencias:
https://www.ibm.com/support/home/docdisplay?lndocid=migr-5098284

https://marc.info/?l=bugtraq&m=139653661621384&w=2

http://macruby.info/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/ipmi-v2-0-password-hash-disclosure.html

https://www.tenable.com/plugins/index.php?view=single&id=80101

https://isc.sans.edu/diary/IPMI%3A+Hacking+servers+that+are+turned+%22off%22/13399

https://akhpark.wordpress.com/2013/06/28/vmware-hangs-on-ipmi_si_drv-screen/

https://communities.vmware.com/thread/455989

1 Response Comment

  • John04/09/2018 at 9:18 pm

    Buena tarde, pregunta, ¿el certificado que solicita puede ser auto firmado?

    Reply

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like