[English]In der auf Dell Servern eingesetzten iDRAC8- und iDRAC9-Verwaltungssoftware gab es mehrere Sicherheitslücken. Die Schwachstellen ermöglichten Remote-Angreifern über einen Stack Buffer Overflow-Fehler die Ausführung von Prozessen zu kontrollieren und Zugriff auf das zugrunde liegende Betriebssystem zu erhalten. Dell hat diese Schwachstellen inzwischen geschlossen.
Anzeige
Was ist Dell iDRAC?
Der Dell Remote Access Controller (DRAC) ist eine Out-of-Band-Verwaltungsplattform auf bestimmten Dell Servern. Die Plattform kann auf einer separaten Erweiterungskarte bereitgestellt oder in die Hauptplatine integriert werden. Ist die Plattform integriert, wird sie als iDRAC bezeichnet. Dell schreibt hier, dass der integrierte Dell Remote Access Controller (iDRAC) für das sichere Management von Servern entwickelt wurde. Dieses Management kann wahlweise lokal oder per Remoteverbindung erfolgen. Er ermöglicht IT-Administratoren die Bereitstellung, die Aktualisierung und das Monitoring (Telemetrie, Wärmemanagement, Serververwaltung etc.) von Dell EMC PowerEdge-Servern, und das orts- und zeitunabhängig.
Mitre-Warnung vor CVE-2021-36301
Zum 23. November 2021 hat CVE-Report in diesem Tweet vor Schwachstellen in Dell iDRAC 9 vor der Version 4.40.40.00 und iDRAC 8 vor der Version 2.80.80.80 gewarnt.
Ein Stack Buffer Overflow in Racadm führt in älteren iDRAC-Versionen dazu, dass ein Remote-Angreifer diese Schwachstelle möglicherweise ausnutzen, um die Prozessausführung zu kontrollieren und Zugriff auf das zugrunde liegende Betriebssystem zu erlangen. Dell hat den Support-Beitrag DSA-2021-177: Dell EMC iDRAC Security Update for Multiple Security Vulnerabilities dazu veröffentlicht und stuft die Schwachstellen als hoch bzw. sicherheitskritisch ein. Im Support-Beitrag werden alle vier bisher gefundenen Schwachstellen mit ihrem CVSS Base Score und einer Beschreibung der betreffenden iDRAC-Software-Versionen gelistet. Die Dell-Seite enthält auch Links für die erforderlichen Updates der iDRAC-Versionen. Deutschsprachige Hinweise zum Thema haben die Kollegen hier veröffentlicht.
Anzeige
Behelfslösung zur Entschärfung
Wer nicht sofort updaten kann, hat die Möglichkeit, die Schwachstelle durch Konfigurationsänderungen unschädlich zu machen. CVE-2021-20235 wird in Dell EMC iDRAC9 entschärft, wenn die Group Manager-Funktion deaktiviert ist. Informationen zu den Konfigurationsschritten für Group Manager finden Sie im iDRAC9 Security Configuration Guide.
Anzeige
Die Konfigurationsmaßnahmen sind wohl eher aufwändiger als wie iDRAC zu aktualisieren. Insbesondere wenn man im Netz die OME Appliance laufen hat, damit kann man iDRAC, BIOS und Firmware von Dell-Servern und Storage zentral überwachen und updaten. iDRAC-Updates kann man jederzeit installieren, weil dazu der eigentliche Server ganz normal weiter laufen kann.
Für den iDRAC8 gab es Anfang April offenbar nochmal ein außerplanmäßiges Update auf Version 2.86.86.86, mit dem CVE-2023-48795 gefixed und außerdem der SHA1-Support entfernt wurde.
(Version 2.85.85.85 sollte eigentlich die letzte Version vor dem EOL sein, siehe https://www.dell.com/support/kbdoc/de-de/000178044/support-for-integrated-dell-remote-access-controller-8-idrac8#iDRAC-EndOfLifeDates).
Vielleicht kann man zumindest auf das EOL einmal hinweisen – hab dazu bisher keinen Eintrag hier im Blog gesehen.