據國外媒體報道,全球有3萬多臺(根據服務器指紋推測)服務器存在名為IPMI密碼泄露漏洞,黑客通過此漏洞可以獲得主機磁盤的原始訪問權限,引入后門程序、從硬盤復制數據、甚至對服務器主機造成更多的危害。
這個名為IPMI的密碼泄露漏洞是智能型平臺管理接口(Intelligent Platform Management Interface)的縮寫,是管理基于 Intel結構的企業系統中所使用的外圍設備采用的一種工業標準,該標準由英特爾、惠普、NEC、美國戴爾電腦和SuperMicro等公司制定。IPMI是一種開放標準的硬件管理接口規格,定義了嵌入式管理子系統進行通信的特定方法。IPMI 信息通過基板管理控制器 (BMC)(位于 IPMI 規格的硬件組件上)進行交流。
簡單來說,有了IPMI這個東西,用戶可以利用IPMI監視服務器的物理健康特征,如溫度、電壓、風扇工作狀態、電源狀態等,更重要的是可以裝系統、開關機、查看操作服務器屏幕輸出,就好比站在服務器面前。
而IPMI是可以通過Web管理的,通過80端口進入管理界面,這里需要賬戶密碼認證,而本次漏洞正是泄漏了這個認證的密碼信息。
舉例:
攻擊者可以通過請求服務器49152端口的/PSBlock文件,就可得到80端口web管理界面的密碼,密碼放在PSBlock文件中,例如:http://69.73.*.*:49152/PSBlock。得到密碼后再訪問http://69.73.*.*/,即可登錄管理。
國內互聯網一線安全公司知道創宇在獲得這一消息后,利用自主研發的網絡空間搜索引擎ZoomEye(鐘馗之眼)探測了全球受影響的漏洞主機,證實截止2014年7月4日,全球有11701個主機受影響,全球分布如下圖所示,詳情請點擊:http://www.zoomeye.org/lab/ipmi
危害:
攻擊者不需要認證即可獲取管理密碼,從而登錄IPMI管理頁面,這個后臺擁有操作服務器的最高權限——重裝系統,其后果可想而知。
防范:
1.聯系廠家升級系統;
2.關閉外網對49152端口的訪問。
關于ZoomEye:
ZoomEye是國內互聯網安全公司知道創宇打造的一個網絡空間搜索引擎,該搜索引擎的后端數據包括兩部分,網站組件指紋和主機設備指紋,目前已經探測了全球40億IP和20億域名。
京公網安備 11010502049343號