溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章給大家介紹如何理解基于IPMI協議的DDoS反射攻擊分析,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。
IPMI(Intelligent Platform ManagementInterface)智能平臺管理接口,原本是一種Intel架構的企業系統的周邊設備所采用的一種工業標準。IPMI亦是一個開放的免費標準,用戶無需支付額外的費用即可使用此標準。
IPMI 能夠橫跨不同的操作系統、固件和硬件平臺,可以智能的監視、控制和自動回報大量服務器的運行狀況,以降低服務器系統成本。IPMI基于UDP協議進行傳輸,基于該協議建立的遠程管理控制服務,默認綁定在623端口。
這個攻擊過程持續了15分鐘,峰值超過2Gbps。攻擊來源IP共有54828個,攻擊來源端口都是623,使用協議IPMI,長度為72字節。對數據包的內容進行具體分析,判斷攻擊包幾乎都是IPMI協議的ping響應包。如圖所示:
最初懷疑是攻擊者偽造源IP實施的Flood攻擊,但驗證這54828個攻擊源IP的623端口,存活率超過98%,很明顯是一種反射攻擊。分析反射源的地址位置特征,全球分布如下圖示:
美國占了接近40%,TOP30國家排名如下圖示:
本次攻擊采用的IPMIping攻擊包,與常規的ping 類似,不同之處ping使用了ICMP協議傳輸。
IPMI 協議廣泛用在Supermicro, Dell, HP, IBM的板載卡管理系統中。而這些存在著默認密碼,甚至有些存在長久的Web漏洞可以直接獲取密碼。認證后可以操作除了ping之外更多的操作,如監控等數據。此時返回數據字節數會遠大于請求數據。
設備分布:
全網分析共有133000個IPMI設備暴露在公網中。其中HP iLO, Supermicro IPMI, Dell iDARC三種設備占據75%以上的份額。因此,之前暴露出的安全問題也基本圍繞著這幾款設備。
IPMI設備攻擊面:
1、Web管理接口
通常是HTTP的80或者443端口,出現過的漏洞:存在默認賬號密碼登錄,Webserver接口溢出等漏洞。詳細如下:
CVE-2013-4782 Supermicro任意IPMI命令執行
CVE-2013-3623 Supermicro cgi/close_window.cgi緩沖區溢出任意命令執行
CVE-2013-3622 Supermicro logout.cgi緩沖區溢出任意命令執行
CVE-2013-3609 Supermicro 權限繞過漏洞
CVE-2013-3607 Supermicro 任意代碼執行
CVE-2013-4037 IBM IPMI明文憑證泄漏
CVE-2014-0860 IBM BladeCenter高級管理模塊IPMI明文憑證泄漏
2、KVM console接口
通常為TCP 5900端口,出現過的漏洞:弱口令。
3、IPMI通訊接口
通常為UDP的623端口,出現過的漏洞:存在默認賬號密碼登錄,協議漏洞。詳細如下:
CVE-2014-8272 IPMI 1.5會話ID隨機性不足
CVE-2013-4786 IPMI2.0離線密碼爆破漏洞
CVE-2013-4037 IPMI密碼哈希值泄漏漏洞
CVE-2013-4031 IPMI用戶默認賬號登錄漏洞
CVE-2013-4782 Supermicro 身份驗證繞過導致任意代碼執行
CVE-2013-4783 Dell iDRAC6 身份驗證繞過導致任意代碼執行
CVE-2013-4784 Hp iLO 任意密碼繞過
4、SMASH接口
通常為TCP的22端口,出現過的漏洞:弱口令。
漏洞統計:
對危害性評級為高危的漏洞進行統計。共有24500個IP存在高危漏洞。總體占比18.5%。
1、IPMI 2.0 Cipher Zero Authentication Bypass。(涉及的漏洞編號CVE-2013-4782,CVE-2013-4783,CVE-2013-4784)遠程攻擊者可通過使用密碼套件0(又名cipher zero)和任意的密碼,利用該漏洞繞過身份認證,執行任意IPMI命令。IPMI 2.0使用cipher zero加密組件時,攻擊者只需要知道一個有效的用戶名就可以接管IPMI的功能。而大部分設備都存在默認賬號和密碼。
| 設備 | 默認賬號 | 默認密碼 |
|---|---|---|
| DELL | root | calvin |
| HP | Administrator | 隨機密碼 |
| IBM | USERID | PASSW0RD |
| SUPERMICRO | ADMIN | ADMIN |
| ORACLE | root | changeme |
| ASUS | admin | admin |
| FUJITSU | admin | admin |
| Huawei | root | Huawei12#$ |
全網掃描結果:
17716個IP存在Cipher Zero Authentication Bypass漏洞。
2、IPMI V1.5會話ID隨機性不足
IPMI v1.5 使用Session-ID 進行認證,Session-ID的取值范圍(2^32)。部分遠程控制卡在實現過程中,采用的Session-ID是0x0200XXYY格式。其中XX可以直接預測,黑客偽造YY的數值,可以在低權限或者未認證的情況下,啟用新session執行任意命令。
全網掃描結果:
2918 個IP存在會話ID隨機性不足的漏洞。
3、開啟匿名帳戶登錄或明文密碼泄露
SuperMicro老版本在49152放置了明文密碼文件。攻擊者可以通過請求服務器49152端口的/PSBlock文件,就可得到80端口web管理界面的密碼,密碼放在PSBlock文件中。
全網掃描結果:
390個IP存在明文密碼泄露,3776個IP允許匿名帳戶登錄。
漏洞地理分布:
板載卡管理系統往往不注重Web安全,更新也需要升級固件,很多公司往往忽略這些工作,導致很多有漏洞的平臺裸露在公網中,非常容易成為黑客攻擊的目標。
通過掃描此次DDoS攻擊源進行分析,有近一半的IP屬于Supermicro IPMI管理平臺。而Supermicro IPMI管理平臺也曾被爆出很多漏洞,其中“明文格式存儲密碼文件PSBlock漏洞”影響較大,存在這類漏洞的機器被黑客劫持后,常用來當作DDoS攻擊的“肉雞”。根據安全人員的分析,在2014年8月就有攻擊者劫持了多達100,000的此類“肉雞”發起了針對ComputerworldUK.com的混合DDoS攻擊,攻擊峰值達300Gbps,持續一天以上。
本次攻擊使用的IPMIping包
IPMIping 傳輸如下:
Req請求 65字節,返回72字節。放大比例1.1倍。
但從放大比例上看,IPMI的ping包并不是一個好的“反射”放大協議。
但IPMIping 由于攻擊包小,來源廣泛,可能會穿透部分傳統設備。
從最近的幾次反射攻擊事件看,一些使用量中等規模的UDP服務逐漸黑客利用起來,包括之前的Memcached反射,放大倍數利率達到50000倍,非常驚人。即使互聯網上公共開放的數量只有10幾萬,也能產生大于1T的流量攻擊。
無認證邏輯,或者弱認證邏輯(包含默認密碼),不常見的UDP服務逐漸成為黑客發動攻擊的首選。
關于如何理解基于IPMI協議的DDoS反射攻擊分析就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
