Dell EMC устранил уязвимость в серверном контроллере удаленного доступа iDRAC, выявленную Positive Technologies

Dell EMC устранил уязвимость в серверном контроллере удаленного доступа iDRAC, выявленную Positive Technologies

Уязвимость позволяет злоумышленнику получить полный контроль над сервером.

Эксперты Positive Technologies Георгий Кигурадзе и Марк Ермолов обнаружили опасную веб-уязвимость в серверном контроллере удаленного доступа Dell EMC iDRAC. Ее эксплуатация может привести к тому, что злоумышленник получит полный контроль над работой сервера для его включения и выключения, изменения настроек охлаждения, питания и т. п. Компания Dell EMC выпустила обновленную микропрограмму для устройства и рекомендует установить ее как можно скорее.

Уязвимость с идентификатором CVE-2020-5366 относится к классу Path Traversal, она получила оценку 7.1, что соответствует высокому уровню опасности. Удаленный аутентифицированный злоумышленник с низким уровнем привилегий может использовать эту ошибку, чтобы получить несанкционированный доступ для чтения произвольных файлов.

Несмотря на рекомендации Dell не подключать iDRAC к интернету и относительную новизну контроллера, в открытых поисковых системах уже можно обнаружить несколько подключений, которые доступны из глобальной сети, что облегчает реализацию атаки для злоумышленника. Кроме того, более 500 таких контроллеров доступны по протоколу SNMP.

«Контроллер iDRAC осуществляет управление крупными серверами и является по сути отдельным компьютером внутри сервера. Устройство работает на базе обычной системы Linux, хотя и урезанной конфигурации, и имеет полноценную файловую систему, — рассказывает эксперт Positive Technologies Георгий Кигурадзе. — Уязвимость позволяет прочитать любой файл в операционной системе контроллера, в отдельных случаях прервать на некоторое время работу контроллера (например, при чтении символьных устройств Linux, таких как /dev/urandom), а при получении бэкапа привилегированного пользователя — заблокировать или нарушить работу сервера. Это может быть как внешняя атака, если у атакующего будут данные для авторизации, полученные, например, через перебор паролей (хотя это непросто, так как в продукте предусмотрена защита от перебора), так и внутренняя, со стороны аккаунта младшего администратора, у которого ограничен доступ к серверу».

«Выход за пределы каталога» (Path Traversal), по оценкам Positive Technologies , регулярно входит в топ-3 наиболее распространенных уязвимостей. С помощью Path Traversal злоумышленник может просмотреть содержимое тех папок на сервере, которые не должны быть доступны обычному пользователю даже в случае авторизации на сайте. Наиболее часто хакеры пытаются прочитать файл /etc/passwd, в котором хранится информация о пользователях Linux. Недавно были обнаружены две уязвимости этого типа в популярном приложении для онлайн-конференций Zoom, которые давали теоретическую возможность удаленному злоумышленнику проникнуть в систему любого из участников группового звонка.

По оценкам IDC IDC, Dell является мировым лидером на рынке серверов. Вариант с iDRAC предлагается почти для всех текущих серверов Dell.

Уязвимости подвержены контроллеры Dell EMC iDRAC9 с версиями прошивок до 4.20.20.20. Для устранения уязвимости необходимо установить микропрограммное обеспечение Dell EMC iDRAC9 v4.20.20.20, закрыть стандартные группы public и private SNMP и использовать SNMPv3 со всеми инструкциями безопасности.

Кроме того, необходимо придерживаться лучших практик по использованию iDRAC:

  • iDRAC предназначен для работы в отдельной сети управления и не предназначен для размещения и подключения непосредственно к интернету.
  • Dell EMC рекомендует использовать выделенный порт Gigabit Ethernet, доступный на серверах, для подключения iDRAC к отдельной сети управления.
  • Наряду с размещением iDRAC в отдельной сети управления пользователи должны изолировать подсеть управления или VLAN с помощью таких технологий, как брандмауэры, и ограничить доступ к подсети или VLAN авторизованным администраторам серверов.
  • Dell EMC рекомендует использовать 256-битное шифрование, а также TLS 1.2 или выше.
  • Dell EMC рекомендует дополнительные параметры, такие как фильтрация диапазона IP-адресов и режим блокировки системы.
  • Dell EMC рекомендует использовать дополнительные параметры аутентификации, такие как Microsoft Active Directory или LDAP.
  • Dell EMC рекомендует обновлять прошивку iDRAC.

Контроллер удаленного доступа Dell iDRAC — это аппаратный компонент, относящийся к классу baseboard management controller, размещенный на материнской плате сервера. Контроллер позволяет системным администраторам удаленно обновлять, контролировать, искать и устранять неполадки, осуществлять восстановление системы Dell, даже когда сервер выключен.

SNMP — стандартный протокол для управления устройствами в IP-сетях.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь