Hlavní navigace

Postřehy z bezpečnosti: karty Supermikro umožňují stáhnout hesla

Lukáš Malý

Některé servery Supermicro umožňují stáhnout hesla pro vzdálený přístup k ovládání hardwaru a servery Internet Info odolávaly DDoS útoku. Návrh zákona o kybernetické bezpečnosti prošel druhým čtením v Poslanecké sněmovně Parlamentu ČR a zaznamenali jsme další bankovní man-in-the-middle útok Dyre/Dyreza.

BMC čip poskytuje hesla administrátorů u 32 tisíc serverů ve formátu prostého textu. Chyba byla objevena v deskách výrobce serverů Supermicro. Zranitelnost ve skutečnosti spočívá v Management Controller (BMC) na deskách WPCM450 zabudovaných do serverů. Management karty jsou hojně využívány ve spojení s Intelligent Platform Management Interface (IPMI) a Zabbix pro monitorování funkčnosti větráků či jiných stavů HW.

Bezpečnostní tým CARI.net, zjistil, že IPMI/BMC – Supermicro základních desek obsahuje binární soubor, který ukládá přihlašovací hesla ve formátu prostého textu a je k dispozici ke stažení soubor pouhým připojením ke konkrétnímu portu 49152. Pokud je management dostupný z internetu, je možno tento soubor snadno získat „GET/PSBlock“. Team provedl skenování a získal tak hesla k 32 tisícům serverů. Je dost zarážející, že je management u tolika serverů dostupný z internetu. A ještě víc zarážející je, kolik hesel bylo defaultních.

Začátkem týdne servery Internet Info čelily DDoS útoku, podrobnosti o celé události sepsali administrátoři do uceleného článku.

Návrh zákona o kybernetické bezpečnosti byl schválen. V třetím čtení dne 18. června 2014 schválila Poslanecká sněmovna Parlamentu ČR návrh zákona o kybernetické bezpečnosti. Následovat bude schválení v Senátu a podepsání prezidentem ČR. Zájemci si mohou pročíst celé znění návrhu zákona či zamyšlení nad jeho smyslem.

Byl objeven trojský bankovní kůň Dyre/Dyreza. Tento bankovní malware využívá techniku známou jako browser hooking, kdy dochází k zachytávání síťového provozu mezi obětí a cílovou webovou stránkou. Tato technika patří do skupiny „Man in the Middle“ útoků a umožňuje útočníkovi přečíst veškerou komunikaci včetně šifrované.

Bezpečnostními experty byl jako zdroj nákazy určen ZIP soubor rozesílaný formou phishingových zpráv. Ty budí dojem, že se jedná o legitimní zprávy zasílané finančními institucemi. V současné době jsou cílem zákazníci finančních institucí ze západní Evropy, kde převládají ty z Velké Británie (Bank of America, Natwest, Citibank, RBS a Ulsterbank).

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
23. 6. 2014 7:57
Prezdivka je povinna (neregistrovaný)

"Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter."

S emailem se uz v budoucnosti nepocita a ti, kteri nemaji ani FB ani Twitter budou asimilovani? :-) Ach jo, proste nazory casti lidi uz mozna v budoucnu nebudou ani videt a ani slyset, ledaze by se ti lide prizpusobili, aby nezahynuli jako dinosauri ...

"Nuz, co se da delat, znovu do prace ... Co tu mam dale ... Rozbit atom. Ne, to je az dalsi, nejprve rozbit monarchii."

23. 6. 2014 23:13
Jenda (neregistrovaný)

Považoval bych defaultně všechno za kompromitované.