Über 20.000 HPE Proliant-Server mit veraltetem iLO per Internet erreichbar

Sicherheit (Pexels, allgemeine Nutzung)[English]Hinweis zum Wochenende für Administratoren von HPE-Proliant-Servern, die auf veraltete oder ungepatchte HPEs Integrated Lights-out Versionen setzen. Das Internet Storm Center (SANS ISC) hat diese Woche gewarnt, dass über 20.000 HPE Proliant Server per Internet erreichbar seien. Wäre ja nicht so das Problem, wenn diese Server nicht eine veraltete iLO-Version einsetzen, oder bekannte iLO-Sicherheitslücken nicht gepatcht haben.


Anzeige

Auf HPE-Proliant-Servern wird Integrated Lights-out als Software eingesetzt. Integrated Lights-Out (iLO) ist ein Low-Level-Serververwaltungssystem, das für die Out-of-Band-Konfiguration gedacht ist und von Hewlett-Packard Enterprise in einige ihrer Server integriert wird. Die Anbindung an ein Netzwerk erfolgt per einen Ethernet-Port, der auf den meisten ProLiant-Servern und Mikroservern der 300er-Serie und darüber vorhanden ist.

Neben der Verwendung zur Server-Verwaltung/-Wartung nutzen Administratoren iLO auch als Notzugang zum Server, falls alle überlagerten Funktionen (Hypervisor oder Betriebssystem) ausfällt. Sicherheitstechnisch stellt iLO daher eine besonders kritische Stelle dar, da darüber der Zugriff auf die gesamte Server-Funktionalität möglich ist. In dieser Software wurden in der Vergangenheit immer wieder Schwachstellen gefunden, die eine Übernahme der Server ermöglicht (siehe Links am Artikelende). Die Verwendung einer aktuellen iLO-Version sowie das Einspielen von Patches sollten daher höchste Priorität haben. Und sofern möglich, sollten die betreffenden Server auch nicht per Internet und zudem nur für die Administratorengruppe erreichbar sein, um die Angriffsfläche gering zu halten.

Warnung des SANS ISC

Ich bin diese Woche auf den nachfolgenden Tweet des SANS ISC gestoßen, der auf das von Jan Kopriva beschriebene Problem hinweist. Über 20.000 HPE Proliant Server mit veralteten iLO-Versionen oder bekannten iLO-Schwachstellen sind per Internet erreichbar.

Kopriva war kürzlich auf die Analyse eines Rootkit gestoßen, welches sich in der iLO-Plattform einnisten kann. Dadurch konnte es auf einer sehr niedrigen Ebene mit dem infizierten System interagieren. An dieser Stelle stellte sich Kopriva die Frage, was passiert, wenn Angreifer Zugriff auf die iLO-Webschnittstelle erhalten und die betreffende Software veraltet oder ungepatcht ist? Dann hätten Angreifer die Möglichkeit, die Server über diese Schwachstellen der iLO-Firmware anzugreifen. Das kann bereits in einem Netzwerk ein Problem sein, für Server, die per Internet erreichbar sind, ist das problematisch.

Er hat dann eine simple Google Suche der Art ilo proliant "local user name" "password" durchgeführt und stieß auf eine Menge Treffer. Im zweiten Schritt hat er dann die Suchmaschine Shodan benutzt und schreibt, dass er über 20.000 iLO-Instanzen gefunden habe, die eine veraltete Firmware oder eine Version mit bekannten Schwachstellen verwenden und per Internet erreichbar sind. Die Details lassen sich im verlinkten Artikel nachlesen – für Administratoren, die auf HPE-Servern iLO einsetzen, stellt sich die Frage, ob diese auf dem aktuellen Patchstand sind.

Ähnliche Artikel:
Sicherheitslücke in HPE Integrated Lights-out 4 (iLO 4)
Sicherheitslücke in HPE Integrated Lights-Out 3 (iLO 3)
Sicherheitslücke in HPE Integrated Lights-out 2, 3, 4
HPE iLO4 Server: Authentifizierung durch 29 'A's aushebelbar
Achtung: Ransomware zielt auf HPE iLO 4!


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Über 20.000 HPE Proliant-Server mit veraltetem iLO per Internet erreichbar

  1. .beejay sagt:

    Ganz abgesehen von der unsicheren iLO-Version: Welcher Hannes kommt überhaupt auf die geniale Idee, sein iLO direkt ins Internet zu publishen? Das ist doch an Idiotie grenzende Naivität!

  2. Günter Born sagt:

    Erste Opfer scheint es schon zu geben, wie mir jemand auf FB gepostet hat.

    • Ralf sagt:

      Ist sogar noch online :o
      Scheinbar aber kein aktueller Server (iLO4, d.g. Gen8 oder Gen9 – Gen10 Server haben iLO5). Dass HPE die Updates mE nur bei abgeschlossenem Servicevertrag rausgibt, gewinnt dadurch nochmal an Brisanz. (Die Idiotie den Server direkt ins Internet zu stellen mal ganz ausgeblendet..)

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.