623/UDP/TCP - IPMI
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:
インテリジェントプラットフォーム管理インターフェース (IPMI) は、オペレーティングシステムや電源状態に依存せず、コンピュータシステムのリモート管理と監視のための標準化されたアプローチを提供します。この技術により、システム管理者は、システムがオフまたは応答しない場合でも、リモートでシステムを管理でき、特に以下の用途に便利です:
OSブート前の設定
電源オフ管理
システム障害からの回復
IPMIは、温度、電圧、ファン速度、電源供給の監視が可能で、在庫情報の提供、ハードウェアログのレビュー、SNMPを介したアラートの送信も行います。その運用に必要なのは、電源とLAN接続です。
1998年にインテルによって導入されて以来、IPMIは多くのベンダーによってサポートされており、特にバージョン2.0のLAN経由のシリアルサポートにより、リモート管理機能が強化されています。主要なコンポーネントには以下が含まれます:
ベースボード管理コントローラー (BMC): IPMI操作のための主要なマイクロコントローラー。
通信バスとインターフェース: ICMB、IPMB、ローカルおよびネットワーク接続用のさまざまなインターフェースを含む内部および外部通信のためのもの。
IPMIメモリ: ログやデータを保存するためのもの。
デフォルトポート: 623/UDP/TCP(通常はUDPですが、TCPで動作している場合もあります)
あなたはバージョンを次のようにして特定できます:
IPMI 2.0の領域では、Dan Farmerによって重要なセキュリティ欠陥が発見され、cipher type 0を通じて脆弱性が露呈しました。この脆弱性は、Dan Farmerの研究で詳細に文書化されており、有効なユーザーがターゲットにされる限り、任意のパスワードで不正アクセスを可能にします。この弱点は、HP、Dell、SupermicroなどのさまざまなBMCで見つかり、すべてのIPMI 2.0実装における広範な問題を示唆しています。
この欠陥を検出するために、以下のMetasploit補助スキャナーを使用できます:
この欠陥の悪用は、以下に示すように ipmitool
を使用して実現可能であり、ユーザーパスワードのリスト表示と変更を可能にします:
この脆弱性により、既存のユーザー名に対して塩を加えたハッシュ化されたパスワード(MD5およびSHA1)を取得できます。この脆弱性をテストするために、Metasploitはモジュールを提供しています:
多くの BMC のデフォルト設定では、ユーザー名とパスワードが空の「匿名」アクセスが許可されています。この設定は、ipmitool
を使用して名前付きユーザーアカウントのパスワードをリセットするために悪用される可能性があります。
IPMI 2.0 の重要な設計選択は、認証目的のために BMC 内に平文パスワードを保存する必要があります。Supermicro がこれらのパスワードを /nv/PSBlock
や /nv/PSStore
などの場所に保存することは、重大なセキュリティ上の懸念を引き起こします:
SupermicroのIPMIファームウェアにUPnP SSDPリスナーが含まれていること、特にUDPポート1900での実装は、深刻なセキュリティリスクをもたらします。 Rapid7の開示で詳述されているように、UPnPデバイス用のIntel SDKバージョン1.3.1の脆弱性により、BMCへのルートアクセスが可能になります。
HPは製造時にデフォルトのパスワードをランダム化します。これは、Integrated Lights Out (iLO)製品に対して行われ、他のメーカーが静的なデフォルト認証情報を使用するのとは対照的です。さまざまな製品のデフォルトのユーザー名とパスワードの概要は以下の通りです:
**HP Integrated Lights Out (iLO)**は、工場でランダム化された8文字の文字列をデフォルトのパスワードとして使用し、より高いセキュリティレベルを示しています。
DellのiDRAC、IBMのIMM、およびFujitsuのIntegrated Remote Management Controllerのような製品は、それぞれ「calvin」、「PASSW0RD」(ゼロを含む)、および「admin」のような簡単に推測可能なパスワードを使用しています。
同様に、Supermicro IPMI (2.0)、Oracle/Sun ILOM、およびASUS iKVM BMCも「ADMIN」、「changeme」、および「admin」をパスワードとして使用するシンプルなデフォルト認証情報を持っています。
Baseboard Management Controller (BMC)への管理アクセスは、ホストのオペレーティングシステムにアクセスするためのさまざまな経路を開きます。簡単なアプローチは、BMCのキーボード、ビデオ、マウス(KVM)機能を利用することです。これは、GRUBを介してホストをルートシェルに再起動する(init=/bin/sh
を使用)か、リカバリディスクとして設定された仮想CD-ROMからブートすることで行えます。このような方法により、ホストのディスクを直接操作し、バックドアの挿入、データの抽出、またはセキュリティ評価のために必要な任意のアクションを実行できます。ただし、これはホストの再起動を必要とし、重大な欠点です。再起動せずに実行中のホストにアクセスすることはより複雑で、ホストの構成によって異なります。ホストの物理コンソールまたはシリアルコンソールがログインしたままであれば、BMCのKVMまたはシリアルオーバーLAN(sol)機能を介してipmitool
を使用して簡単に乗っ取ることができます。i2cバスやSuper I/Oチップのような共有ハードウェアリソースの悪用を探ることは、さらなる調査が必要な分野です。
BMCを装備したホストを侵害した場合、ローカルBMCインターフェースを利用してバックドアユーザーアカウントを挿入することができます。これにより、サーバー上に持続的な存在を作成します。この攻撃には、侵害されたホストに**ipmitool
**が存在し、BMCドライバーサポートが有効である必要があります。以下のコマンドは、認証をバイパスしてホストのローカルインターフェースを使用してBMCに新しいユーザーアカウントを注入する方法を示しています。この技術は、Linux、Windows、BSD、さらにはDOSを含む幅広いオペレーティングシステムに適用可能です。
port:623
モバイルセキュリティの専門知識を8kSecアカデミーで深めましょう。自己学習型のコースを通じてiOSとAndroidのセキュリティをマスターし、認定を取得しましょう:
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)