Teveel domme fouten in systeembeheersoft

Implementaties van software voor het intern beheer van systemen bieden hackers kansen om servers en routers over te nemen door een veelheid aan domme fouten, aldus een studie van de Universiteit van Michigan.

Systemen als servers en routers worden vaak voorzien van een ingebedde Baseboard Management Controller, die instaat voor een beheer (vanop afstand) van de interne werking. Daarbij kan worden gedacht aan “een monitoring van de gezondheid van de hardware, aan/uit ‘power’ toestand,” evenals temperatuur en dies meer, “desgewenst over een IP verbinding.” Op zo’n BMC is er vaak een implementatie van de Intelligent Platform Management Interface (IPMI) – een initiatief van Intel, in samenwerking met meer dan 200 bedrijven, waaronder Cisco, Dell, HP en anderen, sinds 2004 in een versie 2.0.

Een team van de Universiteit van Michigan rapporteerde op een Usenix workshop inzake ‘offensive technologies’ (aanvalstechnologieën) in Washington DC hoe een veelheid aan fouten in OEM implementaties van IPMI honderdduizenden systemen in gevaar brengen. Concreet werd een implementatie van IPMI door Aten Technologies, zoals geleverd door serverproducent Supermicro, geanalyseerd en “we ontdekten dat de firmware talrijke schoolvoorbeelden van securityzwakheden bevatte, inclusief het mogelijke misbruik van privilege escalatie, shell injection en buffer overflow zwakheden.” IPMI toestellen bieden daarbij aanvalsmogelijkheden op een breed front (door een rist gebruikte poorten). De onderzoekers ontdekten voorts dat meer dan 100.000 systemen via publieke IP adressen toegankelijk waren, waarvan meer dan 40.000 om een of andere reden geschikt voor misbruik. Vaak is dat door nonchalance van de systeembeheerders (ongewijzigde fabriekspaswoorden die makkelijk te vinden zijn in documentatie…), maar vaak kunnen die beheerders ook niet inschatten hoe gevoelig de IPMI in hun systemen is, of zijn de update mogelijkheden moeilijk (manueel, of met bijkomende gevaren door zwakke authenticatie indien updates vanop afstand).

Het probleem is overigens niet noodzakelijk beperkt tot IPMI implementaties van Aten, want een en ander gaat terug op een resem zwakheden in twee van de meest populaire uPnP bibliotheken (Universal Plug & Play), onderstrepen de onderzoekers. Ander onderzoek wees ook op gelijkaardige problemen bij routers voor consumenten. Het artikel beschrijft verscheidene aanvalsscenario’s, waaronder IPMI botnets.

Lessen en adviezen

De onderzoekers adviseren de gebruikers van systemen met IPMI om de IPMI firmware up to date te houden, de fabriekspaswoorden te veranderen en IPMI toestellen nooit te voorzien van een publiek IP-adres. Wat de ontwikkelaars van IPMI software en server-OEM’ers betreft, menen de onderzoekers dat “de klinkklare schoolvoorbeelden van fouten […] wijzen op ofwel incompetentie of een onverschilligheid inzake de security van de klanten.” Ze moeten zowel de implementaties verbeteren, als de gebruikers tot een veilig gebruik aanzetten.

Voorts moeten “ook andere implementaties worden onderzocht, van andere belangrijke leveranciers, zoals Dell, HP, Lenovo en Oracle.” En het gebruik van IPMI ‘honingpotten’ (installaties die cybercriminelen tot een aanval verleiden) moet helpen om een kijk te krijgen op de omvang van het misbruik van IPMI in de praktijk.