IBM Power Systems ve OpenPower Systems üzerinde IPMI kullanma riskleri

Akıllı Platform Yönetimi Arabirimi (IPMI) ile ilişkili çeşitli riskler, bilgi teknolojisi (BT) güvenlik topluluğunda tespit edilmiş ve belgelenmiştir.

IBM® Power sistemleri ve OpenPower Sistemleri varsayılan olarak IPMI erişimi sağlar. Bu tanımlanan risklerin bir alt kümesi, IBM sunucuları için geçerlidir.

Güvenlik Açığı Ayrıntıları

IPMI hizmeti, birden çok kimlik doğrulama girişimlerini aldıktan ve reddettikten sonra yanıt vermemeye çalışabilir. Birinsufficient resources for sessionBaşarısız olan kimlik doğrulama girişimlerinden hemen sonra IPMI kullanırsanız, ileti görüntülenir. Bu durum birkaç saniye sürer ve normal hizmet daha sonra geri yüklenir.
Önemli: Yinelenen kimlik doğrulama hataları, hizmetin engellenmesine neden olabilir.
Ortak güvenlik açıkları ve güvenlik açıkları (CVE) listesi, Tablo 1içinde listelenir.
Tablo 1. Genel güvenlik açıkları ve güvenlik açıkları
CVE Tanıtıcısı Açıklama
CVE-2013-4037

Kimlik doğrulama için IPMI standardında belirtilen Uzaktan Kimlik Doğrulamalı Anahtar Değiştokuşu Protokolü (RAKP) kusurları var. Sistem boş parola kullanımına izin vermese de, bir bilgisayar korsanı bir parola belirlemek için RAKP işlemlerini tersine çevirebilir. IPMI için kimlik doğrulama işlemi, yönetim denetleyicisinin istemci kimlik doğrulamasından önce kullanıcının istenen parolasının hash değerini istemciye göndermesini gerektirir. Bu işlem, IPMI belirtiminin önemli bir parçasıdır. Parola hash değeri, çevrimdışı kaba kuvvet ya da sözlük saldırısı kullanılarak kırılabilir.
CVE-2013-4031

IBM Power Systems ve OpenPower Systems, etkilenen tüm sistemlerde aynı varsayılan oturum açma adına ve parolaya sahip bir IPMI kullanıcı hesabıyla önceden yapılandırılır. Kötü amaçlı bir kullanıcı bu önceden yapılandırılmış hesabı kullanarak IPMI arabirimine erişim elde ederse, kullanıcı anasistem sunucusunu kapatıp yeniden başlatabilir ve geçerli kullanıcıların sisteme erişmesini engelleyecek kullanıcı hesapları yaratabilir ya da bunları değiştirebilir. OpenPower Systems üzerinde varsayılan IPMI kullanıcı adı root' dir.

Ayrıca, bir kullanıcı devreye alınan sistemlerin her birinde varsayılan kullanıcı adını ve parolayı değiştiremezse, kullanıcı bu sistemlerin her biri için aynı oturum açma bilgilerine sahip olur.
CVE-2013-4786

IPMI 2.0 belirtimi RMCP + Authenticated Key-Exchange Protocol (RAKP) kimlik doğrulamasını destekler; bu, uzak saldırganların bir BMC ' den HASH tabanlı ileti kimlik doğrulama kodu (HMAC) alarak parola hash algoritmaları elde etmesine ve çevrimdışı parola tahmin saldırıları gerçekleştirmesine olanak tanır.

Yapılandırma seçenekleri ve en iyi uygulamalar

  • Sunucu konuşlandırıldığında önceden yapılandırılmış kullanıcı adını ve parolayı değiştirin. Bu işlem, yetkisiz kullanıcıların önceden yapılandırılmış kullanıcı hesabı aracılığıyla sisteme erişmelerini önler.

  • Erişim kimlik bilgileri Console Inband Communication Credentials (Konsol Bant İçi İletişim Kimlik Bilgileri) görevi aracılığıyla HMC ile paylaşılan kullanıcı için IPMI erişimini devre dışı bırakmayın.

    Not: Console Inband Communications Credentials (Konsol Bant İçi İletişim Kimlik Bilgileri) görevini başlatmak için aşağıdaki adımları tamamlayın:
    1. Gezinme alanında Console Management(Konsol Yönetimi) seçeneğini tıklatın ve Console Settings(Konsol Ayarları) seçeneğini belirleyin.
    2. İçerik bölmesinde Console Inband Communications Credentials(Konsol Bant İçi İletişim Kimlik Bilgileri) seçeneğini tıklatın.
    3. Console Inband Communications Credentials (Konsol Bant İçi İletişim Kimlik Bilgileri) penceresinden, bant içi BMC kimlik bilgilerini ayarlayabilir ya da HMC için önceden ayarlanan bant içi BMC kimlik bilgileri için süresi dolan bir parolayı değiştirebilirsiniz.

  • Bir kullanıcı IPMI kullanarak bir sunucuyu yönetmiyorsa, sistemi kullanıcı hesaplarından IPMI ağ erişimine izin vermeyecek şekilde yapılandırabilirsiniz. Bu görev, IPMItool yardımcı programı ya da IPMI yönetim denetleyicilerini yönetmek ve yapılandırmak için benzer bir yardımcı program kullanılarak gerçekleştirilebilir. Bir IPMI kullanıcısına ilişkin ağ erişimini devre dışı bırakmak için aşağıdaki IPMItool komutunu kullanabilirsiniz:

    ipmitool channel setaccess 1 #user_slot# privilege=15
    Not: Komuttaki #user_slot# değerini gerçek yuva numarasıyla (1-12) değiştirin ve yapılandırılan her kullanıcı için işlemi yineleyin.

    Bu örnek, doğrudan sunucuda çalıştırıldığında komutu gösterir. IPMItool komutu ağ üzerinden uzaktan çalıştırılırsa ya da farklı bir yardımcı program kullanılırsa, komut farklı olabilir. Doğru komut sözdizimini saptamak için, kullandığınız yardımcı programa ilişkin belgelere bakın. IPMI ağ erişiminin engellenmesi, kullanıcı hesabı kimlik bilgilerini keşfetmek için IPMI RAKP protokolünde var olan zayıflığı kullanma yeteneğini ortadan kaldırır.

  • Büyük ve küçük harflerin, sayıların ve özel karakterlerin karışımıyla en az 16 karakter uzunluğunda güçlü parolalar kullanın. Daha karmaşık parolalar kullanarak, kötü niyetli kullanıcıların geçerli kullanıcı kimlik bilgilerini keşfetmesini zorlaştırır.

  • Yönetim ağını genel ağdan ayrı tutun. Yönetim ağının ayrı tutulması, sistemlere erişebilen kişilerin sayısını azaltarak güvenlik açıklarını azaltır.