Риски применения IPMI в IBM Power Systems и OpenPower Systems

Специалистами по информационной безопасности был выявлен и задокументирован ряд рисков, связанных с IPMI (Intelligent Platform Management Interface).

IBM® Power Systems и OpenPower Systems по умолчанию предоставляют доступ к IPMI. Часть выявленных рисков касается серверов IBM.

Информация об уязвимостях

Служба IPMI может перестать отвечать после отклонения многочисленных неудачных попыток идентификации. При попытке обратиться к IPMI сразу после неудачных попыток входа в систему может быть получено следующее сообщение: для сеанса недостаточно ресурсов. Это может продолжаться несколько секунд, после чего служба снова начинает функционировать нормально.

Важное замечание: Многочисленные неудачные попытки идентификации могут привести к отказу в обслуживании.

В Табл. 1 приведен список известных уязвимостей (CVE).

Табл. 1. Известные уязвимости
ИД уязвимости	Описание
CVE-2013-4037	Протокол RAKP, используемый для идентификации по стандарту IPMI, имеет недостатки. Хотя система не позволяет использовать пустые пароли, злоумышленник может определить пароль посредством обратной разработки транзакций RAKP. Процедуре идентификации в IPMI требуется контроллер управления для отправки хэша запрошенного пароля пользователя клиенту перед идентификацией клиента. Эта процедура - ключевой элемент спецификации IPMI. Хэш пароля можно взломать посредством перебора паролей или атаки по словарю.
CVE-2013-4031	В IBM Power Systems и OpenPower Systems есть предопределенная учетная запись пользователя IPMI, имя и пароль по умолчанию которой одинаковые во всех затронутых системах. Если злоумышленник получит доступ к интерфейсу IPMI через эту учетную запись, он сможет включать и выключать питание, перезапускать сервер хоста, а также создавать и изменять учетные записи пользователей, что дает ему возможность лишить законных пользователей доступа к системе. В OpenPower Systems имя пользователя IPMI по умолчанию - `root`. Кроме того, если пользователь не поменяет имя и пароль по умолчанию в каждой развернутой системе, то у него будет одинаковая информация для входа во всех этих системах.
CVE-2013-4786	Спецификация IPMI 2.0 поддерживает идентификацию RAKP, которая позволяет злоумышленникам удаленно получить хэши паролей для дальнейшего взлома путем извлечения кода HMAC из сообщения RAKP 2 от BMC.

Параметры конфигурации и рекомендации

Следует поменять предопределенные имя и пароль пользователя во время развертывания сервера. Это предотвратит несанкционированный доступ к системе через предопределенную учетную запись пользователя.
Не запрещайте доступ к IPMI для пользователя, идентификационные данные которого применяются совместно с HMC с помощью задачи Идентификационные данные внутриполосной связи с консолью.
Прим.: Для того чтобы запустить задачу Идентификационные данные внутриполосной связи с консолью, выполните следующие действия:
1. В области навигации выберите Управление консолью, а затем выберите Параметры консоли.
2. На панели содержимого выберите Идентификационные данные внутриполосной связи с консолью.
3. В окне Идентификационные данные внутриполосной связи с консолью можно изменить идентификационные данные BMC или просроченный пароль для ранее заданных идентификационных данных BMC для HMC.
Если пользователи не управляют серверами через IPMI, то в параметрах системы можно запретить сетевой доступ к IPMI из учетных записей пользователей. Это можно сделать с помощью утилиты IPMItool или аналогичного инструмента для управления и настройки контроллеров управления IPMI. Запретить сетевой доступ для пользователя IPMI можно следующей командой IPMItool:
```
ipmitool channel setaccess 1 #слот-пользователя# privilege=15
```
Прим.: Замените #слот-пользователя# в команде фактическим номером слота (от 1 до 12) и повторите операцию для каждого настроенного пользователя.

В данном примере показана команда для выполнения непосредственно на сервере. Если команда IPMItool выполняется удаленно через сеть или применяется другой инструмент, то синтаксис команды может отличаться. См. правильный синтаксис команды в документации применяемого инструмента. Запрет сетевого доступа к IPMI исключает возможность воспользоваться уязвимостью протокола RAKP IPMI для получения идентификационных данных учетных записей пользователей.
Применение стойких паролей длиной не менее 16 символов, состоящих из прописных букв, сточных букв, цифр и специальных символов. Сложные пароли затруднят злоумышленникам задачу определения идентификационных данных пользователей.
Изоляция сети управления от общедоступной сети. Отдельная сеть управления усиливает защиту за счет сужения круга лиц, имеющих доступ к системам.