CVE20148272漏洞分析:戴尔(Dell)远程控制卡脆弱的SessionID机制

CVE20148272漏洞分析:戴尔(Dell)远程控制卡脆弱的SessionID机制

我们最近发现了一个Dell集成远程控制卡(iDRAC)的漏洞,Dell集成远程控制卡是集成在服务器上的小型设备。

黑客利用这个编号为CVE-2014-8272的漏洞,可以在低权限或者未认证的情况下,启用新session执行任意命令。本文主要会讲述该漏洞的细节和利用手法,并给出我们的修复建议。最后,我们会提供检测CVE-2014-8272漏洞的工具供大家下载。

红黑联盟小科普

IPMI协议:整合服务器和其他系统(如存储设备、网络和通信设备)的硬件管理规范,同时支持多类操作系统。

BMC:通过与系统板上不同传感器进行通信,并在某些参数超出其预置阈值时发送警报和日志事件来监测发生严重事件的系统。

iDRAC:名为Dell集成远程控制卡,是附加在服务器上的一台小电脑,通过与服务器主板上的管理芯片BMC进行通信,监控与管理服务器的硬件状态信息。它拥有自己的系统和IP地址,与服务器上的OS无关。

信道噪声:即干扰信号,噪声干扰不去除,就会造成信号失真,严重的会使得通信无法正确和有效的进行。

背景:IPMI v1.5 Activation阶段的Session-ID

 

在阐述细节之前,我们先来了解下IPMI v1.5信道的Session-ID:

CVE20148272漏洞分析:戴尔(Dell)远程控制卡脆弱的SessionID机制

用户(远程终端)和BMC(管理系统)间的信道的通信过程可以分Discovery、Activation、Active三个阶段建立,细节如下:

在Discovery阶段,BMC应答的认证算法可以用于认证IPMI v1.5信道终端账户(如ADMINISTRATOR, USER, OPERATOR)。在Activation阶段,远程终端会提出账户凭据信息,由支持的认证算法的管理系统进行验证。一旦以上认证成功后,会产生一个Session-ID。此Session-ID是信道的诸项认证的标志,在此以后的每次通信都需要包含这个Session-ID,包括之后的Active阶段。BMC有了这个机制可以同时支持多个session通信,这是因为session除了用来区别信道外,Session-ID也用于鉴别信道的权限级别。比如,远程终端用USER权限的账户,就是无法执行成功“Set User Password”这个高权限命令的。

漏洞:Dell集成远程控制卡的Session-ID

Session-ID作为无符整型数,需要注意两点:

1.在不同信道之间需要有随机性,以保持区别2.它应该有一个可能值的范围(2^32)

不幸的是,这并不是该远程控制卡(为了看起来明了,以下尽量这样称呼iDRAC)

实际采用的规格,它采用的Session-ID是0x0200XXYY格式。Byte-3和Byte-2被设置为0×0200,也许其代表着远程控制卡支持的IPMI的版本号。这个不是重点,我们继续分析。Byte-0(YY)可能是代表激活的时间周期范围(0×00~0×03),这标志着至少在测试的这个版本,远程控制卡能同时支持四个信道,每个时间周期对应一个信道。在随后的信道请求中,该远程控制卡会返回一个“Node Busy”的错误信号:

 

CVE20148272漏洞分析:戴尔(Dell)远程控制卡脆弱的SessionID机制

在Activation阶段发出Temporary-Session-ID和Session-ID后,Byte-1(XX)的值会发生增长。远程控制卡会把0×00当做特殊的值进行跳过(值范围为0×01~0xFF),因此Session-ID的范围为(2^8)-1:

CVE20148272漏洞分析:戴尔(Dell)远程控制卡脆弱的SessionID机制

利用方法:任意命令注入

黑客可以在建立的session里注入任意命令,在他拥有USER账户权限时,可以通过现有的Temporary-Session-ID和Session-ID值预测下一次的值,其步奏如下:

1.在拥有账户凭据的情况下,黑客可以发送“Get Session Challenge”请求,去获得当前的Temporary-Session-ID。2.使用下一个Session-ID携带IPMIv1.5命令,可以预测到其值为当前Temporary-Session-ID加上3。3.重放该请求,当通信再次建立时,请求会注入到下一个session里。

下面是该攻击过程的两个截图:

CVE20148272漏洞分析:戴尔(Dell)远程控制卡脆弱的SessionID机制

 

在上面的例子中,第一个“User List”命令列出远程控制卡里的6个账户,但只有“root”用户拥有ADMINISTRATOR权限。接下来,却出现了一个由合法ADMINISTRATOR用户发送的“Chassis Status”命令。这是因为黑客用预测的Session-ID发送了“Set User Access”命令,然后获得了ADMINISTRATOR权限。最后的“User List”命令显示“Set User Access”确实注入成功,“user”账户已经由USER权限提升到ADMINISTRATOR权限:

CVE20148272漏洞分析:戴尔(Dell)远程控制卡脆弱的SessionID机制

上面的网络数据包截图展示了“Chassis Status”命令的执行结果。选中的第12帧为“Set User Access”的应答包,但其是通过另一个无关的IP进行注入的。这表明了虽然远程控制卡有着IP与Session-ID对应映射,它只会检查这个地址映射表去应答来源,但却没有用来限制来自外来源的请求。

在这次过滤中,任意命令注入发生在第10帧和14帧之间。如果远程控制卡是在第9帧(提前)收到了注入命令,黑客会收到“Insufficient Privilege Level”(权限不足)的错误提示。

这种攻击的缺点是会产生一定的信道噪声,因为黑客没有办法知晓下次session什么时候会建立起来。

供应商回应

这个漏洞可能有两个点需要修复。第一需要充分利用2^32的空间大小,保证选择值的随机性。第二则需要通过映射关系过滤请求的源,保证不会有外来源进行干涉通信。然而,戴尔为了修复iDRAC v1.98,而在这个版本里摈弃了IPMI v1.5协议,但这并不符合兼容规范。然而,他们给出了以下理由:

IPMI 1.5已经不再推荐使用,而且也没有戴尔用户请求我们使用它。
安全建议

据Dan Farmer于2014年6月发布的文章来看,大型扫描结果显示109,726台开着UDP 623端口的机器,还在使用IPMI v1.5,约占扫描总量的46.8%。若是根据戴尔在五月的卖出服务器占15%的市场份额来算,约有17,500台服务器还在使用IPMI v1.5。然而戴尔指出没有用户提出请求让他们实现向后兼容性,这意味着这17,500台机子除非已经全部更新到了IPMI v2.0,不然肯定是存在漏洞的。

更多相关文章
  • >> 点击进入 ChinaJoy2014 专题,查看更多报道 易网科技讯 7月30日消息,在今天召开的2014年Chinajoy产业高峰论坛上,UC优视首席运营官朱顺炎在演讲中表示,UC优视已经完成了对九游与PP助手的整合,未来还将对公司其他流量入口进行整合.未来的UC游戏平台,将集中U ...
  • >> 点击进入 ChinaJoy2014 专题,查看更多报道 易网科技讯 7月30日消息,在今天举行的第十二届中国国际数码互动娱乐展览会上,触控科技有限公司首席执行官陈昊芝表示在刚进入这个行业的时候我们是无知:"通过三年的发展,我们证实了自己的无畏和坚持.我们用自己的产品证明了 ...
  • catalog database 的功能 1)集中存放rman的资料库(备份的元数据),并且可以和target database 的controlfile同步 2)存放rman的备份脚本 catalog database 的配置 1)需要建立一个单独的database SQL> show pa ...
  • 一,简介Signal 是微软支持的一个运行在 Dot NET 平台上的 html websocket 框架.它出现的主要目的是实现服务器主动推送(Push)消息到客户端页面,这样客户端就不必重新发送请求或使用轮询技术来获取消息.  二,实现机制SignalR 的实现机制与 .NET WCF 或 Re ...
  • INQ:全球最强黑客曾为新闻集团编写间谍软件 周三,一位黑客在加州联邦法院出庭作证时表示,媒体巨头新闻集团旗下NDS部门曾聘请其编写一款间谍软件,但否认自己使用过这款软件入侵NDS竞争对手的卫星电视服务网络. 据国外媒体报道,此前美国卫星电视网络服务商DISH网络公司对新闻集团NDS部门提起法律诉讼 ...
  • 需求:标题就是需求,想用密码库批量检测一下域内的弱密码. 解决:PowerShell来实现,不需要第三方工具,不怕被人偷了密码. 本脚本需要3个文件,空的即可,位于d:/pwd下 1 name.csv,保存需要测试的用户名列表 2 pwd.csv,保存需要测试的密码列表 3 name2.csv,保存 ...
一周排行
  • 在Windows应用程序的开发中,我们常常需要面临与外围数据源设备通信的问题.计算机和单片机(如MCS-51)都具有串行通信口,可以设计相应的串口通信程序,完成二者之间的数据通信任务. 实际工作中利用串口完成通信任务 ...
  • 本文主要介绍了oracle数据库基本的管理数据库的语句及其概念 1.如何查询一个角色包括的权限? a.一个角色包含的系统权限 select * from dba_sys_privs where grantee='CO ...
  • In Java, you can create a class within another class and store them together such classes are nested classes ...
  • Active Directory 是一个分布式数据库.它用于存储关于网络上的对象的信息,并允许用户访问这些信息.Active Directory 用于同步一个 Active Directory 林中不同域控制器上的分 ...
  • 慎用Visual Studio C++默认的hash_map 写了一个模块客户端和服务器共用,为了加快查询速度,用了hash_map,今天一个兄弟老卢测试说将其中的hash_map替换成map后速度更快,有点晕.自己 ...
  •    ASP.NET有若干内置对象,用于提供ASP.NET应用程序中必需的功能.它们是:    在此,主要讲解Respone和Request.    Response(中文"反应.响应"的意思): ...
  • properties editor 是 Eclipse下编辑properties文件的插件,用来写国际化程序非常方便,自动保存为ASCII码,支持Unicode. 安装过程: 打开eclispe编辑器help--&g ...
  • 易网科技讯 7月31日消息,据国外媒体报道,希捷公司周一发布了第四财季业绩报告.财报显示,公司期内录得净利润10亿美元,合每股收益2.37美元.希捷第四财季实现销售收入45亿美元.公司上年同期的净利润为1.19亿美元 ...
  • P:                1.          定义5个实型变量,分别赋值为2,3,4,3.1,6.2,计算如下算式的值.   A:        public class vhhj { public s ...
  • 作者:55vn.由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除.因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”.相信你看了这篇文章之后,就会成为一名查杀“木马” ...