{"id":262096,"date":"2022-01-29T09:48:19","date_gmt":"2022-01-29T08:48:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262096"},"modified":"2022-07-12T06:13:59","modified_gmt":"2022-07-12T04:13:59","slug":"ber-20-000-hpe-proliant-server-mit-veraltetem-ilo-per-internet-erreichbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/29\/ber-20-000-hpe-proliant-server-mit-veraltetem-ilo-per-internet-erreichbar\/","title":{"rendered":"Über 20.000 HPE Proliant-Server mit veraltetem iLO per Internet erreichbar"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Hinweis zum Wochenende f\u00fcr Administratoren von HPE-Proliant-Servern, die auf veraltete oder ungepatchte HPEs Integrated Lights-out Versionen setzen. Das Internet Storm Center (SANS ISC) hat diese Woche gewarnt, dass \u00fcber 20.000 HPE Proliant Server per Internet erreichbar seien. W\u00e4re ja nicht so das Problem, wenn diese Server nicht eine veraltete iLO-Version einsetzen, oder bekannte iLO-Sicherheitsl\u00fccken nicht gepatcht haben.<\/p>\n

<\/p>\n

\"\"Auf HPE-Proliant-Servern wird Integrated Lights-out<\/a> als Software eingesetzt. Integrated Lights-Out (iLO) ist ein Low-Level-Serververwaltungssystem, das f\u00fcr die Out-of-Band-Konfiguration gedacht ist und von Hewlett-Packard Enterprise in einige ihrer Server integriert wird. Die Anbindung an ein Netzwerk erfolgt per einen Ethernet-Port, der auf den meisten ProLiant-Servern und Mikroservern der 300er-Serie und dar\u00fcber vorhanden ist.<\/p>\n

Neben der Verwendung zur Server-Verwaltung\/-Wartung nutzen Administratoren iLO auch als Notzugang zum Server, falls alle \u00fcberlagerten Funktionen (Hypervisor oder Betriebssystem) ausf\u00e4llt. Sicherheitstechnisch stellt iLO daher eine besonders kritische Stelle dar, da dar\u00fcber der Zugriff auf die gesamte Server-Funktionalit\u00e4t m\u00f6glich ist. In dieser Software wurden in der Vergangenheit immer wieder Schwachstellen gefunden, die eine \u00dcbernahme der Server erm\u00f6glicht (siehe Links am Artikelende). Die Verwendung einer aktuellen iLO-Version sowie das Einspielen von Patches sollten daher h\u00f6chste Priorit\u00e4t haben. Und sofern m\u00f6glich, sollten die betreffenden Server auch nicht per Internet und zudem nur f\u00fcr die Administratorengruppe erreichbar sein, um die Angriffsfl\u00e4che gering zu halten.<\/p>\n

Warnung des SANS ISC<\/h2>\n

Ich bin diese Woche auf den nachfolgenden Tweet<\/a> des SANS ISC gesto\u00dfen, der auf das von Jan Kopriva beschriebene Problem hinweist<\/a>. \u00dcber 20.000 HPE Proliant Server mit veralteten iLO-Versionen oder bekannten iLO-Schwachstellen sind per Internet erreichbar.<\/p>\n

<\/a><\/p>\n

Kopriva war k\u00fcrzlich auf die Analyse eines Rootkit gesto\u00dfen, welches sich in der iLO-Plattform einnisten kann. Dadurch konnte es auf einer sehr niedrigen Ebene mit dem infizierten System interagieren. An dieser Stelle stellte sich Kopriva die Frage, was passiert, wenn Angreifer Zugriff auf die iLO-Webschnittstelle erhalten und die betreffende Software veraltet oder ungepatcht ist? Dann h\u00e4tten Angreifer die M\u00f6glichkeit, die Server \u00fcber diese Schwachstellen der iLO-Firmware anzugreifen. Das kann bereits in einem Netzwerk ein Problem sein, f\u00fcr Server, die per Internet erreichbar sind, ist das problematisch.<\/p>\n

Er hat dann eine simple Google Suche der Art ilo proliant \"local user name\" \"password\"<\/em> durchgef\u00fchrt und stie\u00df auf eine Menge Treffer. Im zweiten Schritt hat er dann die Suchmaschine Shodan benutzt und schreibt<\/a>, dass er \u00fcber 20.000 iLO-Instanzen gefunden habe, die eine veraltete Firmware oder eine Version mit bekannten Schwachstellen verwenden und per Internet erreichbar sind. Die Details lassen sich im verlinkten Artikel nachlesen – f\u00fcr Administratoren, die auf HPE-Servern iLO einsetzen, stellt sich die Frage, ob diese auf dem aktuellen Patchstand sind.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSicherheitsl\u00fccke in HPE Integrated Lights-out 4 (iLO 4)<\/a>
\nSicherheitsl\u00fccke in HPE Integrated Lights-Out 3 (iLO 3)<\/a>
\nSicherheitsl\u00fccke in HPE Integrated Lights-out 2, 3, 4<\/a>
\nHPE iLO4 Server: Authentifizierung durch 29 'A's aushebelbar<\/a>
\nAchtung: Ransomware zielt auf HPE iLO 4!<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Hinweis zum Wochenende f\u00fcr Administratoren von HPE-Proliant-Servern, die auf veraltete oder ungepatchte HPEs Integrated Lights-out Versionen setzen. Das Internet Storm Center (SANS ISC) hat diese Woche gewarnt, dass \u00fcber 20.000 HPE Proliant Server per Internet erreichbar seien. W\u00e4re ja nicht … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,7459],"tags":[6558,4947,4328],"class_list":["post-262096","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-software","tag-hpe","tag-server","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262096","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262096"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262096\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262096"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262096"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262096"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}