;doc

Атаки на системы
IPMI/BMC
Немного обо мне
• Шильненков Валентин
• Пентестер >1 года в @ptsecurity
• В сфере ИБ >5 лет
• Исследователь
С чем мы имеем дело
• IPMI (Intelligent Platform Management Interface)
• BMC (Baseboard Management Controller)
История исследований IPMI/BMC
• Dan Farmer
• IPMI: Freight Train To Hell
• [ http://fish2.com/ipmi/old/itrain.pdf ]
• Sold Down the River
• [ http://fish2.com/ipmi/river.pdf ]
• Rapid7
• A Penetration Tester's Guide to IPMI and BMCs
• [ https://community.rapid7.com/community/metasploit/blog/2013/07/02/apenetration-testers-guide-to-ipmi ]
История исследований IPMI/BMC (2)
• CVE-2013-4805: IPMI Authentication Bypass via Cipher 0
• CVE-2013-4786: IPMI 2.0 RAKP Authentication Remote Password
Hash Retrieval
• ???: IPMI Anonymous Authentication/Null user
• CVE-2004-2600: IPMI NONE Authentication
• CVE-2013-3621, CVE-2013-3623, CVE-2013-3622: Supermicro buffer
overflow in CGI
• CVE-2013-3619: Supermicro Static Encryption Keys
Сценарий атаки
• Находим IPMI
• Используем
• Cipher Zero
• Anonymous user
• NONE authentication
• Нет уязвимостей реализации? Не проблема )
• Получаем хеши и ломаем их
• Получаем доступ к менеджменту сервера
Как и где их найти
• Сканируем
• Тулы
• Ищем в инете
• Shodan.io
• Scans.io
Сканирование
• Инструменты
• Nmap (seclist.org/nmap-dev/2014/q3/96)
• ipmi-version.nse
• Metasploit (www.metasploit.com)
• ipmi_version
• Freeipmi (www.gnu.org/software/freeipmi/)
• ipmiping
• rmcpping
• ipmicd (github.com/nixerr/ipmicd)
• Что искать
• IPMI UDP: 623
• BMC TCP: 3900, 5900, 5901, 3668, 3670, 3671, 3669, 2068, 8192, 623, 8889, 3172,
5120, 5121, 5123, 5555, 5556, 5988, 7578, 11626, 8021, 8022, 6481, 17988, 17990
Nmap: ipmi-version.nse
Metasploit: ipmi_version
Freeipmi: rmcpping/ipmiping
ipmicd
Статистика по Shodan.io + scans.io
Доступные IPMI/BMC в Интернете (HTTP)
6000
5000
4000
3000
2000
1000
0
ILOM
HP iLO
IMM
sonar
shodan.io
iRMC
iDRAC
Эксплуатация систем
• Tools
• ipmitool
• NONE Authentication
• Cipher Zero
• Metasploit
• ipmi_cipherzero
• ipmi_dumphasher
• Nmap
• ipmi-cipher-zero.nse
• ipmicd
• dump hashes
Metasploit: ipmi_cipher_zero
Nmap: ipmi-cipher-zero.nse
ipmitool: Cipher Zero
Metasploit: ipmi_dumphashes
ipmitool: NONE Authentication
ipmicd
• Написана на С – быстрая (в будущем)
• Админы смогут писать под нее свои экслоиты )
• Исходники - https://github.com/nixerr/ipmicd
• Мультиплатформенность: поддерживается Linux и Windows
• Реализовано:
• Получение версии IPMI (пинг)
• Получение хеша пользователя
• Пример
• ./ipmicd –v 1 10.0.0.0/24
ipmicd – dumping hashes
Мы внутри, что же тут есть?
• Что у нас есть
• Мы всех нашли
• It’s admin time!!
• Наши возможности
•
•
•
•
•
•
Данные температуры устройств
Вольтаж процессоров
Аппаратные сбои
Журналы авторизации
KVM до основной ОС
ОС самого IPMI/BMC
• Что делать дальше?
KVM до основной ОС
• Пару слов о KVM
• Где его найти
• Какой софт использовать
• Проблемы развития
• Нужна авторизация для KVM
• Сломанный хеш
• Добавить пользователя
• Нужна авторизация для основной ОС
KVM до основной ОС - Решение
• Мы можем подключить удаленно CD
• Удобно для удаленной установки ОС
• Мы можем загрузиться с него
• Из наших IPMI/BMC доступ к BIOS
• Далее загружаемся с него и запускаем нагрузку
• Есть небольшая тонкость )
• Основная ОС при это естественно не функционирует
KVM до основной ОС - Нагрузка
• Быстрая и автоматизированная
• Минимизация простоя при перезагрузках
• Понимающая разные ОС для пост эксплуатации
•
•
•
•
Сдампить хеши
Сетевые данные
Данные приложений
Пример - run winenum
• Забираем данные
• Еще одна проблема
KVM до основной ОС – Забираем данные
• Интрузивный метод
• Добавить пользователя/ключи (линукс-юникс)
• Подменить менеджмент сервисы
• Установить RAT ;)
• Пассивный метод
• Получить сетевые настройки по DHCP
• Выставить сетевые настройки перед началом эксплуатации
• Печать на экране
• Опять проблема
• Разные сети
• Доступность
• ICMP, DNS tunneling
KVM до основной ОС – Inception
• А можно ли все это провернуть еще быстрее?
• Виртуализация основной ОС
• Статистика использования ОС
• habrahabr.ru/post/133783/
• Windows Server
• Debian
• CentOS
• Что нас ждет помимо гигантских
трудозатрат на подготовку образа?
• Тормоза?
• Нет, Xen наше все
• Но это все пока Roadmap
Итого: Live CD
• Собранная ОС на линуксе
• Монтирование файловой системы основной ОС
• Инструменты для постэксплуатации
• samdump2 - Дампит пароли
• Можно добавить volatility
• И другие Forensic tools
• Github.com/nixerr/livecd
ОС IPMI/BMC
• Что можно с ней сделать
• Закрепление
• Вредоносное ПО
• Туннелирование
• Как
• Уязвимости в прошивках
• Shellshock
• Upload custom firmware
HP iLO Tricks: Взлом хешей
• Пароль по умолчанию в HP iLO для Administrator генерируется при
производстве
• Словарь используемый при генерации
• Uppercase alpha + digits
• Длинна
• 8 символов
• Как правило, администраторы видят такой пароль и не
задумываются о его смене =)
• Как ломать хеши
• John the ripper: --format=RAKP
• Hashcat: -m 7300 (IPMI2 RAKP HMAC-SHA1)
HP iLO Tricks: IPMI/BMC для IPMI/BMC
• HP BladeSystem Onboard Administrator
Обнаруженные нами уязвимости
• HP iLO
• CSRF
• XSS
• Buffer overflow in SSH server
• Cisco ICM
• Command execution/OS commanding
• Ждем патчей производителей …
Перспективы исследования
• Больше уязвимостей
• Уязвимости в ПО IPMI/BMC
• Уязвимости в драйверах ОС для взаимодействия с IPMI/BMC
• Вектора развития атаки
• Недокументированные каналы связи BMC с основным сервером
Releases
• Мы научили находить и тестировать
• Утилита ipmicd для интересных ситуаций
• github.com/nixerr/ipmicd
• Набор livecd для экспериментов
• github.com/nixerr/livecd
• Рассказали о проблемах и перспективах ресерчей
Спасибо за внимание!