De kwetsbaarheden zitten in de Intelligent Platform Management Interface (IPMI), wat een standaardprotocol is om servers en netwerkhardware te monitoren en te beheren. Dat gebeurt dan via een aparte module met eigen voorzieningen voor die remote-toegang. IT-apparatuur is daarmee ook toegankelijk als het is vastgelopen of uitgeschakeld. IPMI maakt out-of-band beheer of lights-out management (LOM) mogelijk.

SATAN en Metasploit

IPMI wordt al jaren ondersteund door de grote fabrikanten van servers en netwerkapparatuur. Nu blijkt dat het ook onbevoegdheden toegangsmogelijkheden geeft. Dit is ontdekt door security-consultant Dan Farmer, meldt techmagazine Wired. Farmer heeft onderzoek gedaan in opdracht van het DARPA-onderdeel van het Amerikaanse ministerie van Defensie. Farmer is bekend van de aloude scantool SATAN (ook wel SANTA genoemd).

HD Moore, maker van de hedendaagse securitytool Metasploit, heeft al een online-scan uitgevoerd naar de IPMI-gaten. Hij heeft al zeker 100.000 systemen gevonden die op afstand toegankelijk zijn voor kwaadwillenden. Zij kunnen via het beheerprotocol de versleutelde wachtwoorden voor de servers buitmaken om die op hun gemak te gaan kraken. Moore heeft dit al getest met een bestaand Python-script en een Metasploit-module. Daarbij is 10 procent van de wachtwoorden al gekraakt.

Servers wissen

Verder is het in bepaalde gevallen mogelijk om de authenticatie op kwetsbare systemen geheel te omzeilen. Dat gebeurt via een veelgebruikte instelling in de handshake-procedure voor de eigenlijke log-in. Computerinbrekers kunnen dan data stelen, eigen software installeren of zelfs complete systemen wissen. HD Moore stelt dat de toegangsmogelijkheden via IPMI bijna gelijk zijn aan fysieke toegang tot servers en netwerkapparaten.

Normaliter is dat juist de bedoeling van IPMI, maar dan alleen voor de legitieme beheerders van IT-apparatuur. IPMI doet namelijk dienst via een zogeheten baseboard management controller (BMC), die standaard aanwezig is op bijna alle moderne servers, stelt Farmer in zijn whitepaper 'IPMI: Freight Train To Hell' van begin dit jaar.

Fouten alom

Dat onderzoek naar IPMI is niet gerelateerd aan Farmers DARPA-werk, stelt hij in die whitepaper. De security-onderzoeker heeft daarin wel de basis gelegd voor de nu gemelde kwetsbaarheden. Er is volgens hem een reeks aan ontwerp-, gebruik- en leveranciersfouten die complexe, diepgaande en serieuze beveiligingsproblemen veroorzaken voor IT-infrastructuur.

Zo hebben de beheermodules, ingebed op servermoederborden, vaak hergebruik van wachtwoorden, als die al op regelmatige basis worden gewijzigd. Verder gelden wachtwoorden veelal voor meerdere servers, en worden die inloggegevens soms in clear-text opgeslagen. Farmer beklaagt zich over het gebrek aan documentatie en onderzoek hiernaar.

Beide protocolversies

Metasploit-maker HD Moore merkt op dat leveranciers hun klanten waarschuwen om de BMC-ingang voor servers nooit via internet open te stellen. Ondanks het gevaar hiervan wordt dit in de praktijk toch veel gedaan. Het nut en de kostenbesparingen van remote-beheer, ook op het diepgaande IPMI-niveau, zijn immers groot. De gevaren echter ook.

De door Farmer ontdekte kwetsbaarheden zitten in allebei de nu gebruikte versies van IPMI. In versie 1.5 hoeven wachtwoorden niet versleuteld te zijn. In versie 2.0 zitten andere kwetsbaarheden; zeker zes stuks. Verder hebben sommige van de ingebedde beheercontrollers het gebruiksvriendelijke verbindingsprotocol UPnP (Universal Plug and Play) aanstaan, wat ook een kwetsbaarheid is. Dat is eigenlijk allang bekend.

Serverschroot

Een IPMI-wachtwoord - al dan niet versleuteld - valt ook buit te maken uit een afgeschreven of kapotte server als een kwaadwillende die in handen krijgt. Door het delen van wachtwoorden, of het beheren van meerdere servers via een of enkele IPMI-modules, is daardoor een hele IT-omgeving kwetsbaar. Dit kan naast gewone bedrijven ook hosters raken.