Fremdzugriffe auf unternehmenseigene Server verhindern

Die Gefahren von BMC und IPMI: Raritan warnt vor Schwachstellen

| Autor / Redakteur: Bernhard Lück / Andreas Donner

BMCs und IPMI sind potenzielle Sicherheitslücken, die Fremdzugriffe auf Firmenserver zur Folge haben können.
BMCs und IPMI sind potenzielle Sicherheitslücken, die Fremdzugriffe auf Firmenserver zur Folge haben können. (Bild: XtravaganT – Fotolia.com)

Unternehmen nutzen beim Remote-Server-Management Baseboard Management Controller (BMC) sowie die dazugehörigen Protokolle für das Intelligent Platform Management Interface (IPMI). Laut Raritan tauchen aktuell vermehrt Schwachstellen bei BMCs und IPMI auf.

Datacenter-Experte Raritan warnt Nutzer von BMCs und IPMI vor Schwachstellen, die Fremdzugriffe auf den Firmenserver zur Folge haben können. BMCs haben direkten Zugriff auf das Motherboard des Servers. Dadurch ist es dem Tool möglich, den Server zu überwachen, zu booten und sogar neu zu installieren. Durch den KVM-over-IP-Zugriff sowie die Verbindung zu Remote-Medien können Nutzer eines BMC einen Server auch aus der Ferne bedienen.

Die Schwachstellen, die bei BMCs auftraten, wurden hauptsächlich von zwei Security-Experten identifiziert: Dan Farmer, ein Pionier in der Entwicklung der Schwachstellen-Scanner, entdeckte und dokumentierte die Schwachstellen ursprünglich. H. D. Moore (Entwickler der Netzwerk-Security-Software Metasploit Framework) beschrieb, wie man die Schwachstellen mit schnell verfügbaren Sicherheits-Tools erkennen kann. Moore entdeckte mehr als 300.000 IPMI-fähige, leicht angreifbare Server, die mit dem Internet verbunden waren.

Wo eine Schwachstelle, da auch ein Angriff

BMC- und IPMI-Schwachstellen haben Folgen für Unternehmen und Organisationen: Die Cipher Zero Authentication der BMCs funktioniert mittels Passwortzugriff. Jedoch können die BMC-Passwort-Hashes durch Brute-Force-Methoden geknackt werden. Cyberkriminelle nutzen dafür einfach die auftretenden Schwachstellen aus. Ebenso angreifbar sind BMCs mit aktiviertem „Anonymous“-Zugang.

In der Vergangenheit traten zudem vermehrt Schwachstellen bei UPnP (Universal Plug and Play) auf, die Root-Zugriffe auf den BMC sowie das Entwenden von Klartextpasswörtern ermöglichten. Sobald der BMC geknackt wird, gibt es viele Möglichkeiten, ihn anzugreifen, zu kontrollieren und den Server in Beschlag zu nehmen. Umgekehrt kann der BMC genutzt werden, um bei einem kompromittierten Server ein Backdoor-Benutzerkonto einzurichten.

BMC-Schwachstellen sofort melden

Allen Serveradministratoren und Sicherheitsbeauftragten muss bewusst sein, dass die von Farmer und Moore erkannten Schwachstellen auch ihre Server betreffen können. Sobald sich ihre IPMI- und BMC-Implementierungen verändern, sollten Anwender den Serverhersteller konsultieren. Farmer bietet verunsicherten Usern IPMI Security Best Practices an, Moore stellt nützliche FAQs zur Verfügung.

Obwohl die Schwachstellenforschung bezüglich BMC und IPMI noch ziemlich neu und nicht vollständig ausgereift ist, sind sich die RZ-Experten von Raritan trotzdem einig, dass Kunden die Schwachstellen ernst nehmen sollten. Angesichts der hohen Bedeutung des BMC für die Unternehmensserver sei dies doppelt wichtig.

Gefahren für Netzwerke ins Auge blicken

„Neben den Schwachstellen im IPMI-Protokoll scheinen auch die dazugehörigen Geräte der meisten BMCs ähnliche Probleme zu haben“, erklärt Moore. „Zu den Problemquellen zählen Standardpasswörter, veraltete Open-Source-Software und in einigen Fällen Backdoor-Konten sowie statische Verschlüsselungskeys. Die Welt der BMCs ist ein Durcheinander, das sich wahrscheinlich auch nicht allzu bald bessern wird. Wir müssen uns demnach der Gefahren dieser Geräte für unsere Netzwerke bewusst sein.“

„Stellen Sie sich vor, Sie versuchen einen Computer abzusichern, der einen kleinen störenden Server auf dem Motherboard hat; quasi einen Blutsauger, der weder ausgeschaltet noch dokumentiert werden kann“, erläutert Farmer. „Sie können sich nicht einloggen, keine Patches einpflegen oder Probleme beheben. Zudem können sie keine serverbasierenden Abwehrmechanismen, Audits oder Anti-Malware-Software nutzen. Die Konstruktion des Servers ist undurchsichtig und die Implementierung schon alt. Dies ist die perfekte Plattform zum Spionieren, fast unsichtbar dem Host gegenüber. Der Blutsauger hat also die volle Kontrolle über die Hard- und Software des Computers. Für so eine Remote-Kontrolle und -Überwachung wurde er sogar speziell ausgerichtet.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42310276 / Bedrohungen und Attacken)