Sicherheitsexperte warnt vor Server-Fernwartung
HD Moore von der Firma Rapid7, die das Angriffs-Framework Metasploit entwickelt, zeigt Risiken bei Servern mit Fernwartungsfunktionen. Diese betreffen sowohl IPMI als auch die Firmware der BMC-Chips auf Serverboards.
Der Chefentwickler HD Moore von der Firma Rapid7, die für das Angriffs-Framework Metasploit bekannt ist, mahnt zu sorgfältigem Einsatz von Server-Fernwartung. Er zeigt große Schwachstellen in den Fernwartungsprotokollen IPMI 1.5 und 2.0 auf, aber auch bei der Firmware vieler Baseboard Management Controller (BMC): Diese Chips erlauben den Zugriff aus der Ferne per Netzwerk auch dann, wenn der eigentliche Server nicht arbeitet (Out-of-Band-Management). Doch wie schon bei Industriesteuerungen, Routern mit UPnP oder Servern für serielle Ports gibt es auch bei der BMC-Firmware hanebüchene Schwächen, die Angreifer leicht ausnutzen können.
Die sind nicht grundsätzlich neu, erst im Juni hatte der Server-Anbieter Thomas-Krenn.com vor einem UPnP-Bug in der BMC-Firmware zahlreicher Server-Mainboards der Firma Supermicro gewarnt. Viele BMCs kommunizieren auch deshalb über eine separate Netzwerkbuchse, die man mit einem abgeschotteten LAN nur für die Fernwartung verbinden sollte. Doch es ist bei vielen Serverboards auch möglich, die Fernwartung so einzurichten, dass sie über einen der normalen Gigabit-Ethernet-Ports erreichbar ist. Wer sich unsicher ist, wie er seinen Server eingerichtet hat, sollte das unbedingt klären.
HD Moore weist zunächst auf die Arbeiten von Dan Farmer zu IPMI-Risiken hin, der auch einen Leitfaden als PDF veröffentlicht hat. Darin erklärt Moore, wie man die aktiven Netzwerkports des BMC herausfindet und verweist auf gängige Standard-Passwörter, mit denen man problemlos Zugriff auf die Fernwartungsfunktionen der Server vieler großer Hersteller bekommt.
Sofern im Nutz-Betriebssystem, welches auf dem jeweiligen Server läuft, ein passender Treiber für die (oft virtuelle serielle) Schnittstelle zum BMC geladen ist, kann man mit IPMI-Befehlen möglicherweise auch vom Host aus Zugriff auf den BMC bekommen. Anders herum kann man beispielsweise die KVM-over-IP-Funktion des BMC nutzen, um den Server zu steuern. HD Moore erwartet aber auch noch andere Angriffsmöglichkeiten: Manche BMC-Firmware enthält sehr alten und schlecht gewarteten Legacy-Code. Ein BMC besteht oft aus einem System-on-Chip (SoC), welches einige I/O-Ports mit einem alten Grafikchip und einem einfachen ARM- oder PowerPC-Kern kombiniert. Die Firmware-Entwickler verwenden nicht selten ältere Open-Source-Tools, die auch auf veralteten Chip-Generationen funktionieren.
Doch auch IPMI selbst hat Schwächen. Dan Farmer hat das "Cipher-0"-Problem beschrieben, mit dem sich die Authentifizierung von IPMI 2.0 umgehen lässt. HD Moore erklärt, wie man einen Server mit Metasploit auf diese Schwäche abklopft. Doch selbst mit Passwort ist IPMI 2.0 nicht unbedingt sicher, weil es das Remote Authenticated Key-Exchange Protocol (RAKP) verwendet – und sich Passwörter aus den übergebenen Hash-Werten mit Tools wie hashcat rekonstruieren lassen.
Auf vielen Supermicro-Serverboards mit einem "F" in der Typenbezeichnung sitzen Remote-Management-BMCs des taiwanischen Herstellers Nuvoton (einer Tochter von Winbond) mit Firmware von Aten. Entwickelt wurden diese Chips von American Megatrends (AMI) als MegaRAC. Emulex hat 2010 den ehemaligen Chipsatz-Hersteller ServerEngines und dessen BMC-Produktreihe Pilot gekauft. (ciw)
