32.000 Supermicro-servers lekken wachtwoordbestand
Een lek in de apparatuur van fabrikant Supermicro zorgt ervoor dat het bestand met wachtwoorden voor de ingebedde baseboard management controller (BMC) voor het hele internet toegankelijk is en waardoor kwaadwillenden deze machines kunnen overnemen.
"Je kunt letterlijk het BMC-wachtwoordbestand van elk Supermicro-moederbord downloaden waar UPnP is ingeschakeld en het IPMI-protocol op een publieke interface draait", zegt Zachary Wikholm van cloudhostingaanbieder CARI.net. Ook andere bestanden zouden risico lopen om via deze manier te worden gedownload.
IPMI is een protocol dat zich in de BMC bevindt en wordt gebruikt om servers mee te beheren. In het geval van het nu ontdekte probleem blijkt dat een bestand met wachtwoorden via poort 49152 toegankelijk is. Daarnaast zijn de wachtwoorden onversleuteld en in platte tekst in het bestand opgeslagen.
Zoekmachine
Wikholm waarschuwde Supermicro en kreeg te horen dat het UPnP-probleem al in de nieuwste IPMI-BIOS was gepatcht. De onderzoeker merkt op dat het niet altijd mogelijk is om de BIOS van een systeem te updaten. Wikholm besloot John Matherly te benaderen, de man achter de SHODAN-zoekmachine. Deze zoekmachine maakt het mogelijk om allerlei soorten, al dan niet kwetsbare, systemen op het internet te zoeken.
Matherly voerde een scan via SHODAN uit en ontdekte 9,8 miljoen hosts die op webrequests op poort 49152 reageerden. Niet elke host was echter een Supermicro-server, in veel gevallen ging het om routers en IP-camera's die op Linux draaiden. Een verzoek om het wachtwoordbestand leverde 32.000 kwetsbare servers op. Wikholm verzamelde de wachtwoorden en ontdekte dat 3300 wachtwoorden de standaard combinatie waren.
Linux
En dat is niet het enige probleem. Veel van de Linux-systemen die op de webrequests reageerden bleken oudere versies van de Linux-kernel te draaien. Volgens Wikholm is het dan ook de hoogste tijd dat zowel consumenten als organisaties om veiligere ingebedde platformen gaan vragen. Door allerlei diensten, zoals SHODAN, zijn ook dit soort ingebedde systemen eenvoudig te vinden en lopen daardoor serieus risico.
Ze maken servers volgens google:
http://www.supermicro.com/index_home.cfm
http://www.supermicro.com/products/nfo/IPMI.cfm
Waarschijnlijk een LightsOut concurrent.
http://h17007.www1.hp.com/us/en/enterprise/servers/management/ilo/index.aspx#tab=TAB2
Supermicro maakt X86 servers, toegang tot de bmc geeft controle over de remote beheer interface.
Hierdoor is het mogelijk de server uit te schakelen of toegang via KVM over IP te krijgen tot het besturing systeem.
er zijn zat bedrijven die hun IT hebben draaien op dit merk server.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
