Názory k článku Postřehy z bezpečnosti: karty Supermikro umožňují stáhnout hesla
-
Prezdivka je povinna (neregistrovaný)
"Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter."
S emailem se uz v budoucnosti nepocita a ti, kteri nemaji ani FB ani Twitter budou asimilovani? :-) Ach jo, proste nazory casti lidi uz mozna v budoucnu nebudou ani videt a ani slyset, ledaze by se ti lide prizpusobili, aby nezahynuli jako dinosauri ...
"Nuz, co se da delat, znovu do prace ... Co tu mam dale ... Rozbit atom. Ne, to je az dalsi, nejprve rozbit monarchii."
-
Tím linuxovým? To bych nejdřív musel servery nabootovat z nějakýho LiveCD. Existuje koukám prográmek od Supermicra IPMICFG, ale nefunguje mi, nic nedělá, ani chybu nevypíše :( Tak holt zkusím ten linuxovej. A nebo pak existuje podpultovej DOSovej program defaultp.exe, kterej kartu totálně vyresetuje.
-
Honza Jaroš (neregistrovaný)
Ano, tím linuxovým. Nějak jsem automaticky předpokládal, že je tam Linux, jestli špatně tak pardon. :-)
Pro jistotu jsem si to ještě teď vyzkoušel: nového uživatele se mi nepodařilo aktivovat (pořád se mi ve webové administraci objevoval ve stavu "Reserved"), ale existujícímu jsem heslo změnil bez problémů. Chce to mít natažený modul ipmi_devintf a pak se přes 'ipmitool user list' nechají vylistovat existující uživatelé a přes 'ipmitool user set password [ID]' (kde [ID] je číslo z prvního sloupce v seznamu uživatelů) je možné změnit heslo.
-
Doporučuju mrknout na https://community.rapid7.com/community/metasploit/blog/2013/07/02/a-penetration-testers-guide-to-ipmi
Konkrétně Supermicra se pak týká http://www.supermicro.com/support/faqs/faq.cfm?faq=16536 kde popisujou, v jakejch FW zalátali ty díry.
Ale podle specifikace stejně každá IPMI karta člověku je tak pošle hash hesla, takže jde dělat offline útok, to je neuvěřitelný :)
