ИБ-специалисты обнаружили критическую уязвимость в системах удаленного доступа iLO 4 компании HP. Брешь позволяет обойти авторизацию модуля и получить на нем root-привилегии. Результатом такой атаки может стать компрометация хранимых на сервере паролей, выполнение удаленного кода и даже полная замена прошивки модуля.

Платы iLO широко применяются для организации удаленного доступа к серверам HP. Они оборудованы независимым портом Ethernet и имеют отдельный IP-адрес. При помощи этого устройства администратор может выполнять ряд операций, в том числе перезагрузить систему, провести ее диагностику и обратиться к последовательному порту. Управление платой осуществляется через веб-интерфейс при помощи обычного браузера.

Уязвимость CVE-2017-12542 позволяет подключиться к iLO 4, не зная логин и пароль, — достаточно отправить на устройство URL-запрос, содержащий 29 символов “A”. Плата обработает такую команду и предоставит атакующему административный доступ через интерфейс командной строки.

Группа исследователей, состоящая из ИБ-специалистов Airbus, Synacktiv и независимого эксперта, опубликовала два видео с доказательствами. В первом ролике показан процесс обхода алгоритма авторизации, во втором — то, как злоумышленники могут получить доступ к незашифрованным логинам и паролям пользователей, воспользовавшись этим багом. Бреши присвоен критический уровень опасности — по шкале CVSS она оценена в 9,8 баллов из 10 возможных.

Проблему обнаружили в феврале 2017 года. Эксперты сообщили об уязвимости в платах HP, и производитель устранил ее, выпустив версию прошивки 2.54. Обновление вышло в августе прошлого года, и его уже должны были получить все регулярно обновляемые устройства. Как утверждают специалисты, CVE-2017-12542 выявлена только на iLO 4, другие модели коммуникационного модуля вне опасности.

Зимой HP уже залатала другую опасную уязвимость в предыдущей модели, iLO 3. Ошибка, получившая рейтинг 8,6, позволяла провести DoS-атаку на устройство и в итоге вывести сервер из строя.

В мае этого года стало известно о вредоносной кампании, авторы которой использовали незакрытые интернет-соединения с платой iLO 4. Если администратор оставлял систему онлайн, киберпреступники шифровали все данные на жестком диске компьютера и требовали выкуп за декодирование информации.

Категории: Уязвимости