image

HP waarschuwt voor ernstig lek in serverbeheertool iLO 4

donderdag 24 augustus 2017, 17:20 door Redactie, 9 reacties

HP heeft een waarschuwing afgegeven voor een ernstig beveiligingslek in een tool waarmee HP-servers op afstand worden beheerd. Via de kwetsbaarheid in Integrated Lights-out 4 (iLO 4) kan een aanvaller op afstand toegang tot servers krijgen en daarop willekeurige code uitvoeren.

Vanwege de impact van de kwetsbaarheid adviseert HP om zo snel als mogelijk in actie te komen. Integrated Lights-out is een technologie om HP-servers op afstand mee te beheren. De iLO-kaart heeft een aparte netwerkverbinding en een eigen ip-adres, waarmee via https verbinding kan worden gemaakt. Vervolgens is het onder andere mogelijk om de server te resetten, in te schakelen en de remote system console of command-line interface te benaderen.

HP stelt dat een aanvaller via de kwetsbaarheid de authenticatie kan omzeilen en willekeurige code kan uitvoeren. Op een schaal van 10 heeft het beveiligingslek een 9,8 en een 10 gekregen. Organisaties krijgen dan ook het advies om HPE Integrated Lights-out 4 (iLO 4) firmware versie 2.53 of nieuwer zo snel als mogelijk te installeren, aangezien het probleem daarin is verholpen.

Reacties (9)
24-08-2017, 17:56 door Anoniem
De gemiddelde ILO interface krijgt nooit, maar dan ook echt nooit een firmware update en zal dus altijd kwetsbaar blijven.

Toch is de impact voor de gemiddelde organisatie nihil in mijn optiek; simpelweg omdat een beetje beheerder zijn netwerk waarin ILO interfaces zich bevinden totaal geisoleerd houdt van al het andere en tevens onder geen enkel beding aan het internet koppelt.

Waar dit wel een enorme impact gaat hebben, is de dedicated servermarkt (bv een Leaseweb). Dit omdat die lui eigenlijk altijd ILO interfaces aan het internet hangen zodat de huurder zelf de boel kan inrichten..
24-08-2017, 18:00 door karma4
En zoiets zet je natuurlijk open en boot op Internet. Er gemakkelijk voor de bofh op vreemde werkuurtjes.
Uhhh wacht eens....
24-08-2017, 21:20 door Anoniem
Door Anoniem: De gemiddelde ILO interface krijgt nooit, maar dan ook echt nooit een firmware update en zal dus altijd kwetsbaar blijven.
Kan.... Ik ben bang dat je hier gelijk ik hebt.

Toch is de impact voor de gemiddelde organisatie nihil in mijn optiek; simpelweg omdat een beetje beheerder zijn netwerk waarin ILO interfaces zich bevinden totaal geisoleerd houdt van al het andere en tevens onder geen enkel beding aan het internet koppelt.
Ik denk dat je dit onderschat. Bij een goed ingericht netwerk zekers. Maar bij veel bedrijven zal dit toch niet het geval zijn. Misschien een apart VLAN, maar een apart Management LAN dat afgeschermd is, is wel hoe je het zou moeten inrichten, maar zal bij veel bedrijven niet zo ingericht zijn.

Waar dit wel een enorme impact gaat hebben, is de dedicated servermarkt (bv een Leaseweb). Dit omdat die lui eigenlijk altijd ILO interfaces aan het internet hangen zodat de huurder zelf de boel kan inrichten..
Hellemaal correct. Ik heb mijn 2.53 versie nog maar even geupgrade naar 2.54.
Van het weekend de servers bij klanten checken.
25-08-2017, 07:46 door Anoniem
https://www.shodan.io/search?query=iLO
25-08-2017, 09:21 door Whacko
Door karma4: En zoiets zet je natuurlijk open en boot op Internet. Er gemakkelijk voor de bofh op vreemde werkuurtjes.
Uhhh wacht eens....
WAAAR staat dat!? helemaal nergens.
25-08-2017, 10:47 door Anoniem
Door Anoniem:
Waar dit wel een enorme impact gaat hebben, is de dedicated servermarkt (bv een Leaseweb). Dit omdat die lui eigenlijk altijd ILO interfaces aan het internet hangen zodat de huurder zelf de boel kan inrichten..
Echt waar, doen die dat? Dat valt me wel tegen...
Ik heb zelf wel wat servers maar daarbij zit de ILO achter de router in een netwerksegment wat ik via VPN kan bereiken.
Tevens zit de SSH toegang voor de servers in dat segment, ESXi beheer, etc.
De "open internet" poort draait alleen de services die je op internet aanbiedt.
Nou zijn dat natuurlijk opstellingen waar bij er meerdere fysieke servers in een kastdeel zitten en ook een router, als je
alleen 1 losse server afneemt is dit lastig zelf te regelen (hoewel een klein routertje er vaak nog wel ergens tussen te
frommelen is) maar juist bij dat soort diensten zou de hoster dit zelf moeten aanbieden op hun router.
25-08-2017, 19:06 door Anoniem
Door Anoniem:
Door Anoniem:
Waar dit wel een enorme impact gaat hebben, is de dedicated servermarkt (bv een Leaseweb). Dit omdat die lui eigenlijk altijd ILO interfaces aan het internet hangen zodat de huurder zelf de boel kan inrichten..
Echt waar, doen die dat? Dat valt me wel tegen...

Alleen al de schaarste aan IP (v4) adressen lijkt me een reden om niet nodeloos twee publieke adressen per server te willen opofferen.
25-08-2017, 20:21 door SomeDuder
Door Whacko:WAAAR staat dat!? helemaal nergens.
Blijft lastig, dat sarcasme.
26-08-2017, 15:16 door Anoniem
Door Anoniem:
Door Anoniem:
Waar dit wel een enorme impact gaat hebben, is de dedicated servermarkt (bv een Leaseweb). Dit omdat die lui eigenlijk altijd ILO interfaces aan het internet hangen zodat de huurder zelf de boel kan inrichten..
Echt waar, doen die dat? Dat valt me wel tegen...
Waarom? Je huurt een stukje ruimte, wat jij er daarna mee doet is niet leaseweb zijn probleem.

Ik heb ook maar 1U en een DL360 server daar hangen. Ik heb toevallig 2 netwerk poortjes gekregen 1 voor mijn productie netwerk en 1 voor ILO. Ik kan er niet even een firewall bij plaatsen om er een apart beheer netwerk voor te bouwen. Wat moet ik dan doen?
Moet ik een 2de U er bij huren om een firewall te plaatsen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.