HPE iLO4 Server: Authentifizierung durch 29 ‘A’s aushebelbar

Publiziert am 6. Juli 2018 von Günter Born

Hinweis zum Wochenende für Administratoren von HP-Proliant-Servern, die auf HPEs Integrated Lights-out 4 setzen. Eine Sicherheitslücke ermöglicht es Unbefugten, die Authentifizierung durch wiederholte Eingabe des Buchstabens A zu umgehen. Die Lücke wurde bereits vorheriges Jahr gepatcht, aber nun sind Proof of Concepts verfügbar.

Anzeige

Administratoren, die HPEs Integrated Lights-out 4 (iLO4) zur Administration von HPE Server von einsetzen, sind nicht zu beneiden. Ständig werden Sicherheitslücken in der Verwaltungssoftware bekannt.

29 A und die Authentifizierung ist ausgehebelt

Im vergangenen Jahr entdeckte ein Trio von Sicherheitsforschern eine Schwachstelle, die ihrer Meinung nach über eine Internetverbindung remote ausgenutzt werden kann und alle iLO-Server gefährdet.

Die Schwachstelle ist ein Authentifizierungs-Bypass, der Angreifern den Zugriff auf HP iLO-Konsolen ermöglicht. Die Forscher schreiben, dass dieser Zugriff anschließend genutzt werden kann, um Klartext-Passwörter zu extrahieren, bösartigen Code auszuführen und sogar die iLO-Firmware zu ersetzen.

Was besonders erschreckend ist: Diese Sicherheitslücke ist geradezu trivial ausnutzbar. Um die Sicherheitslücke remote auszunutzen, reicht cURL-Anfrage und die 29 Mal die Eingabe des Buchstabens "A":

Anzeige
curl -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA"

Die Sicherheitsforscher haben zwei GIFs veröffentlicht, die zeigen, wie einfach es ist, die iLO-Authentifizierung mit ihrer Methode zu umgehen:

HP iLO bypass

Und dann zeigen sie, wie sie das Passwort eines lokalen Benutzers im Klartext abrufen konnten.

HP iLO password extraction

Die Schwachstelle CVE-2017-12542 hat auf Grund der Einfachheit der Ausnutzung den Schweregrad von 9,8 (max. 10) erhalten. Wie Bleeping Computer in diesem Beitrag erwähnt, wurde die Schwachstelle bereits voriges Jahr gepatcht. Ich hatte im Blog-Beitrag Sicherheitslücke in HPE Integrated Lights-out 4 (iLO 4) über diesen Vorgang berichtet.

Inzwischen hat die Sicherheits-Community Proof-of-Concept-Exploits erstellt, die CVE-2017-12452 nutzen können, um Zugriff auf HP iLO 4-Server zu erhalten und ein neues Administratorkonto hinzuzufügen. Roof of Concepts (PoCs) sind hier und hier verfügbar, und ein Metasploit-Modul ist hier verfügbar.

Ähnliche Artikel:
Sicherheitslücke in HPE Integrated Lights-out 4 (iLO 4)
Sicherheitslücke in HPE Integrated Lights-out 2, 3, 4

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.