Kurzer Sicherheitshinweis an Administratoren, die ein per Internet erreichbares HPE Integrated Lights-Out 4 (HPE iLO 4) verwenden. Aktuell zielt Ransomware auf Schwachstellen in HPE iLO 4, und versucht Festplatten zu verschlüsseln.
Anzeige
Was ist HPE iLO 4?
Das Kürzel HPE iLO 4 steht für HP Enterprise Integrated Lights-Out Version 4 (inzwischen gibt es bereits die iLO 5). Es handelt sich um ein Management-Tool für bestimmte HP-Server. Die Software ermöglicht es Administratoren, den Server per Netzwerk/Internet remote (aus der Ferne) zu verwalten. Administratoren können sich dazu über einen Webbrowser oder eine mobile Anwendung mit dem iLO verbinden.
Angriff auf HPE iLO 4-Systeme
Bei Bleeping Computer findet sich die Info, dass seit einigen Stunden Angriffe auf iLO 4-Systeme stattfinden, die per Internet erreichbar sind. Die Angreifer zielen auf internetfähige HPE iLO 4 Remote-Management-Schnittstellen. Dort versuchen sie sich über das Web-Interface der Anmeldeseite in das System zu hacken.
Nach der Anmeldung kann ein Administrator auf Protokolle zugreifen, Server neu starten, Serverinformationen anzeigen und vieles mehr. Es gibt wohl auch die Möglichkeit, eine Remote-Konsole auf dem Server einzurichten. Diese bietet den vollen Zugriff auf die aktuell zugängliche Betriebssystem-Shell. Aus diesem Grund sollte ein iLO-Gerät niemals direkt mit dem Internet verbunden werden. Ein Remotezugriff per Internet könnte über ein sicheres VPN erfolgen.
Angeblich sollen die Festplatten nach einem erfolgreichen Zugriff auf das Web-Interface verschlüsselt worden sein. Die Hacker fordern dann Lösegeld in Form von Bitcoins, um den Opfern den Zugriff auf die verschlüsselten Daten zu gewähren. Obwohl es nicht zu 100% bestätigt wurde, ob die Festplatten tatsächlich verschlüsselt wurden, gibt Bleeping Computer an, dass man seit dem 24. April von mehreren Opfern wisse.
HPE iLo 4 hit by #Ransomware
anyone seen this before?@malwrhunterteam@demonslay335 @struppigel @leotpsc pic.twitter.com/ATdAWUtW64— M. Shahpasandi (@M_Shahpasandi) 25. April 2018
Bleeping Computer bezieht sich auf den obigen Tweet von Sicherheitsforscher M. Shahpasandi, der eine Meldung der Ransomware auf dem Webinterface gezeigt hat. In Antworten auf den Tweet diskutieren Sicherheitsexperten das Thema.
Hack per Brute-Force-Angriff
Es scheint, dass die iLO 4-Zugänge per Brute-Force-Angriff gehackt wurden. Dann wurde das Login-Bild ausgetauscht. Ob die Festplatte verschlüsselt wurde, ist aktuell unklar. Die Geschichte zeigt, dass HPE iLO 4-Zugänge nicht per Internet erreichbar sein dürfen. In einem Tweet gibt jemand den Tipp, was man zur Absicherung tun kann.
Anzeige
iLos are like enfeebled patient with no immune system.
Never put iLos, IPMI, LOMs, etc on the Internet.
Use a dedicated management network.
Use strong passwords.
Use jump boxes.
Patch firmware.
Collect logs and alerts.
React to what these tell you.— Nick Hutton (@nickdothutton) 25. April 2018
Scheinbar beherzigen viele Administratoren das nicht. Über Shodan werden wohl über 5.000 HPE iLO 4-Systeme im Internet gefunden. Wenn dann noch schwache Kennwörter verwendet wurden, steht einem Hack nichts mehr im Wege.
Ähnliche Artikel:
Sicherheitslücke in HPE Integrated Lights-out 2, 3, 4
Sicherheitslücke in HPE Integrated Lights-out 4 (iLO 4)
2015
