IBM Power Systems および OpenPower Systems で IPMI を使用するリスク

情報技術 (IT) セキュリティー・コミュニティーでは、Intelligent Platform Management Interface (IPMI) に関連するさまざまなリスクが確認され、文書化されています。

IBM® Power Systems および OpenPower Systems は、デフォルトで IPMI アクセスを提供します。これらの特定されたリスクのサブセットは、 IBM サーバーに適用されます。

脆弱性の詳細

IPMI サービスは、複数の認証試行を受け取り、リジェクトした後で応答しなくなる場合があります。以下を受け取る可能性があります。insufficient resources for sessionこのメッセージは、認証の試行が失敗した直後に IPMI を使用する場合に表示されます。この状態が数秒間続き、その後、通常のサービスが回復します。

重要: 認証の失敗が繰り返し発生すると、サービス妨害が発生する可能性があります。

共通脆弱性識別子 (CVE) のリストについては、表 1を参照してください。

表 1. 共通脆弱性識別子
CVE ID	説明
CVE-2013-4037	認証に関する IPMI 標準で指定されている Remote Authenticated Key-Exchange Protocol (RAKP) には欠陥があります。システムで Null パスワードを許可していない場合でも、ハッカーが RAKP トランザクションをリバース・エンジニアリングすることで、パスワードを判別できる場合があります。 IPMI の認証プロセスには、クライアント認証の前に、要求されたユーザー・パスワードのハッシュをクライアントに送信するための管理コントローラーが必要です。このプロセスは、IPMI 仕様の重要な部分です。パスワード・ハッシュは、オフラインのブルート・フォース・アタックや辞書攻撃を使用して破壊することができます。
CVE-2013-4031	IBM Power Systems および OpenPower Systems は、影響を受けるすべてのシステムで同じデフォルトのログイン名とパスワードを持つ 1 つの IPMI ユーザー・アカウントで事前構成されています。悪意のあるユーザーがこの事前構成アカウントを使用して IPMI インターフェースへのアクセス権限を取得した場合、そのユーザーは、ホスト・サーバーの電源オフ/オンや再始動を行ったり、許可されたユーザーによるシステムへのアクセスを妨げる可能性のあるユーザー・アカウントの作成や変更を行ったりすることができます。 OpenPower Systems の場合、デフォルトの IPMI ユーザー名は `root`です。さらに、デプロイ済みの各システムでユーザーがデフォルトのユーザー名とパスワードの変更に失敗した場合、ユーザーは、それらの各システムで同じログイン情報を使用します。
CVE-2013-4786	IPMI 2.0 仕様では、RMCP+ Authenticated Key-Exchange Protocol (RAKP) 認証がサポートされており、リモートの攻撃者がパスワード・ハッシュを取得し、BMC の RAKP メッセージ 2 応答からハッシュ・ベースのメッセージ認証コード (HMAC) を入手することでオフライン・パスワード推測攻撃を行うことができます。

構成オプションとベスト・プラクティス

サーバーのデプロイ時に、事前構成されたユーザー名とパスワードを変更します。このアクションにより、事前構成されたユーザー・アカウントを使用して無許可ユーザーがシステムへのアクセス権限を取得することを防止します。
「コンソール・インバンド通信の資格情報 (Console Inband Communication Credentials)」タスクを介して、アクセス資格情報が HMC に共有されているユーザーの IPMI アクセスを使用不可にしないでください。
注: 「コンソール・インバンド通信資格情報」タスクを起動するには、以下の手順を実行します。
1. ナビゲーション領域で、「コンソール管理」をクリックしてから、「コンソール設定」を選択します。
2. コンテンツ・ペインで、「コンソール・インバンド通信の資格情報 (Console Inband Communications Credentials)」をクリックします。
3. 「コンソール・インバンド通信の資格情報 (Console Inband Communications Credentials)」ウィンドウでは、インバンド BMC 資格情報を設定したり、HMC の以前に設定されたインバンド BMC 資格情報の有効期限が切れたパスワードを変更したりすることができます。
ユーザーが IPMI を使用してサーバーを管理していない場合、ユーザー・アカウントからの IPMI ネットワーク・アクセスを許可しないようにシステムを構成できます。このタスクは、IPMI 管理コントローラーの管理および構成に IPMItool ユーティリティーまたは類似のユーティリティーを使用することで実行できます。次の IPMItool コマンドを使用して、IPMI ユーザーのネットワーク・アクセスを無効にできます。
```
ipmitool channel setaccess 1 #user_slot# privilege=15
```
注: コマンドの #user_slot# を実際のスロット番号 (1 から 12) に置き換え、構成されているユーザーごとに繰り返します。

この例は、サーバー上で直接実行する場合のコマンドを示しています。 IPMItool コマンドをネットワークでリモートから実行する場合、あるいは別のユーティリティーを使用する場合は、コマンドが異なる可能性があります。正しいコマンド構文を確認するには、使用するユーティリティーの資料を参照してください。 IPMI ネットワーク・アクセスを不許可にすることで、IPMI RAKP プロトコルに存在する弱点を使用してユーザー・アカウントの資格情報を検出することができなくなります。
16 文字以上の長さで、大文字と小文字、数値、および特殊文字が混在する強力なパスワードを使用してください。より複雑なパスワードを使用することで、悪意のあるユーザーが有効なユーザー資格情報を検出することが難しくなります。
管理ネットワークは、パブリック・ネットワークから切り離してください。管理ネットワークを分離し、システムにアクセスできる個人の数を減らすことで、セキュリティー・リスクを軽減できます。