Hewlett Packard Enterprise пропатчила серьезную уязвимость в системе Integrated Lights-Out 3 (iLO3), используемой для удаленного управления серверами популярной линейки ProLiant. Этот баг позволяет без аутентификации вызвать состояние отказа в обслуживании, что при определенных условиях может вывести из строя весь дата-центр.

Уязвимость CVE-2017-8987, обнаруженная в сентябре исследователями из Rapid7, оценена как высоко опасная, ей присвоено 8,6 балла по шкале CVSS. Разработчик опубликовал соответствующий бюллетень 22 февраля и выпустил обновление для уязвимого продукта.

Данная брешь была обнаружена в iLO3 с прошивкой 1.88, более новые версии прошивки (1.8, 1.82, 1.85 и 1.87) ей не подвержены. Для iLO4 2.55 эта проблема, согласно блог-записи Rapid7, тоже не подтвердилась, а iLO5 эксперты даже не тестировали.

Встраиваемый механизм iLO разработчик реализовал в виде физической карты с отдельным сетевым соединением. Его наличие позволяет системным администраторам удаленно управлять серверами.

«Автор атаки, уже скомпрометировавший сеть, теперь может запросто лишить администратора возможности внести исправления или принять защитные меры, — пояснил для Threatpost Тод Бирдсли (Tod Beardsley), директор по исследованиям в Rapid7. — Таким образом можно вообще отключить дата-центр, и надолго, так как удаленное управление и смягчение последствий атаки станут невозможными». В этом случае сисадминам придется решать проблему по месту.

Если атакующий находится в той же сети, что и уязвимое iLO3-устройство, он сможет, по словам Бирдсли, просто послать несколько HTTP-запросов, и iLO минут на десять перестанет отвечать.

В блоге Rapid7 сказано, что таким образом можно вызвать отказ SSH: «Текущие SSH-сессии зависнут, а новые невозможно будет открыть». При другом сценарии атаки можно ненадолго закрыть доступ к веб-порталу — «пользователи не смогут войти на веб-портал, так как страница регистрации перестанет успешно загружаться».

Исследователи также отметили, что такие запросы на CURL, как HTTP GET и POST, навредить не смогут, но если, к примеру, подать на уязвимое iLO3-устройство запрос curl -X OPTIONS, произойдет отказ в обслуживании. «DoS вызывается через запрос любым методом, кроме GET или POST, пусть даже неправильный, — пишут исследователи. — Через десять минут после отказа сторожевой сервис (автоматическое восстановление системы) перезапустит устройство».

«Чтобы провести атаку, аутентификация не нужна, — подчеркнул в комментарии Бирсли. — Ее требует в той или иной степени само устройство — например, при заходе на веб-портал надо залогиниться. Однако в данном случае атака происходит раньше, буквально простой подачей HTTP-команды».

В Rapid7 также не преминули отметить, что iLO-механизм по умолчанию отключен, поэтому многим серверам ProLiant эксплойт CVE-2017-8987 не грозит.

Категории: Аналитика, Уязвимости