Специалисты по информационной безопасности предупреждают компании о необходимости плотного мониторинга трафика с целью выявления подозрительной активности, так как в протоколе IMPI, предназначенного для управления оборудованием, выявлена серьезная уязвимость. Напомним, что протокол IMPI или Intelligent Platform Management Interface используется для удаленного мониторинга и управления серверным оборудованием.
Независимый консультант по безопасности Дэн Фармер говорит, что в протоколе выявлена серьезная уязвимость в процессе передачи данных в Baseboard Management Controller (BMC) – специальный микроконтроллер, встроенный в материнскую плату.
Сенсоры в системе передают данные в BMC, в частности температуру, скорость вращения вентиляторов, особенности работы блока питания и статус операционной системы. Спецификации IMPI разрабатываются и поддерживаются Intel, при помощи них возможно удаленно включать, выключать или перезагружать сервер, а также мониторить основные рабочие параметры оборудования. Однако в протоколе передачи, встроенном в IMPI, выявлена уязвимость, позволяющая установить бэкдор, копировать данные, удалять информацию для мониторинга и даже удалять данные с жестких дисков. Консультант говорит, что данные уязвимости очень опасны, так как IMPI относится к низкоуровневым технологиям и позволяет напрямую контролировать оборудование.
Фармер говорит, что он занимался исследованиями IMPI в рамках гранта, выделенного агентством DARPA, входящим в структуру Минобороны США. Специалист говорит, что баг присутствует в том числе и в IMPI 2.0, являющейся последней текущей версией протокола. Подробности о проблеме он пока не раскрывает.
Известно и о наличии другой существенной уязвимости в IMPI 2.0. В компании Rapid 7 говорят, что они выявили баг, позволяющий перехватывать крипто-хэш пользовательских паролей, которые запрашиваются во время процесса аутентификации для использования IMPI. Взломать парольный хэш можно при помощи процедуры перебора паролей и, если последний окажется не слишком сложным, можно управлять серверами.
Дополнительная опасность кроется еще и в том, что IMPI нельзя вылечить, простым выпуском патча, ведь это практически аппаратная технология, которая не предусматривает модернизацию со стороны пользователя. Единственное, что позволит надежно защищать от атаки – это выделение IMPI-функций в работу по автономной сети, доступ к которой закрыт от сторонних пользователей. Также можно установить гейтвей с ограниченной системой аутентификации. (Новости/NovostIT)
