Hunderttausende Server über Fernwartungsprotokolle angreifbar

Sicherheitsforscher Dan Farmer warnt erneut vor den Risiken des Fernwartungsprotokolls IPMI und der Firmware von Baseboard Management Controllern (BMC). Zusammen mit Metasploit-Entwickler HD Moore hat er die Ergebnisse einer Untersuchung (PDF) präsentiert, die über 230.000 Server im Netz entdeckt hat, welche über das Protokoll angegriffen werden können. Mehr als 90 Prozent dieser Server seien leicht zu knacken, sagt Farmer. Die entsprechenden Schwachstellen hatten Moore und Farmer bereits vor einem Jahr angeprangert.

In seinem Bericht stellt der Forscher ebenfalls fest, dass über 46 Prozent der untersuchten Server IPMI Version 1.5 einsetzen, obwohl Version 2.0 bereits seit 2006 zur Verfügung steht. Die meisten Server, die Version 1.5 des Protokolls einsetzen, erlauben das Einloggen mit Administrator-Privilegien ohne Passwort. Ein Angreifer kann dann aus dem Netz Befehle auf dem System ausführen. Ist trotzdem ein Passwort gesetzt, kann es über einen Man-in-the-Middle-Angriff ausspioniert werden, da diese Version des Protokolls gänzlich unsicher kommuniziert. Version 2.0 behebt zwar einige dieser Probleme, ist aber auch in vielen Fällen noch angreifbar. Vor allem weil viele Serverhersteller bekannte Sicherheitsprobleme in ihren Produkten ignorieren, sagt Farmer.

Als Konsequenz aus seiner Untersuchung empfiehlt der Forscher, Management-Ports unter keinen Umständen im öffentlichen Netz zugänglich zu machen. Außerdem sollten Administratoren unbedingt sichere Passwörter für die Fernwartungszugänge verwenden. Werksseitig eingestellte Passwörter und Nutzernamen müssten zwingend geändert werden.

Wie die Server-Fernwartung über das Mainboard funktioniert, erklärt der Artikel "Voller Durchblick via LAN" aus c't 25/13. (fab)