Positive Technologies
Новости

Dell EMC устранил уязвимость в серверном контроллере удаленного доступа iDRAC, выявленную Positive Technologies

Эксперты Positive Technologies Георгий Кигурадзе и Марк Ермолов обнаружили опасную веб-уязвимость в серверном контроллере удаленного доступа Dell EMC iDRAC¹. Ее эксплуатация может привести к тому, что злоумышленник получит полный контроль над работой сервера для его включения и выключения, изменения настроек охлаждения, питания и т. п. Компания Dell EMC выпустила обновленную микропрограмму для устройства и рекомендует установить ее как можно скорее.

Уязвимость с идентификатором CVE-2020-5366 относится к классу Path Traversal, она получила оценку 7.1, что соответствует высокому уровню опасности. Удаленный аутентифицированный злоумышленник с низким уровнем привилегий может использовать эту ошибку, чтобы получить несанкционированный доступ для чтения произвольных файлов.

Несмотря на рекомендации Dell не подключать iDRAC к интернету и относительную новизну контроллера, в открытых поисковых системах уже можно обнаружить несколько подключений, которые доступны из глобальной сети, что облегчает реализацию атаки для злоумышленника. Кроме того, более 500 таких контроллеров доступны по протоколу SNMP².

«Контроллер iDRAC осуществляет управление крупными серверами и является по сути отдельным компьютером внутри сервера. Устройство работает на базе обычной системы Linux, хотя и урезанной конфигурации, и имеет полноценную файловую систему, — рассказывает эксперт Positive Technologies Георгий Кигурадзе. — Уязвимость позволяет прочитать любой файл в операционной системе контроллера, в отдельных случаях прервать на некоторое время работу контроллера (например, при чтении символьных устройств Linux, таких как /dev/urandom), а при получении бэкапа привилегированного пользователя — заблокировать или нарушить работу сервера. Это может быть как внешняя атака, если у атакующего будут данные для авторизации, полученные, например, через перебор паролей (хотя это непросто, так как в продукте предусмотрена защита от перебора), так и внутренняя, со стороны аккаунта младшего администратора, у которого ограничен доступ к серверу».

«Выход за пределы каталога» (Path Traversal), по оценкам Positive Technologies, регулярно входит в топ-3 наиболее распространенных уязвимостей. С помощью Path Traversal злоумышленник может просмотреть содержимое тех папок на сервере, которые не должны быть доступны обычному пользователю даже в случае авторизации на сайте. Наиболее часто хакеры пытаются прочитать файл /etc/passwd, в котором хранится информация о пользователях Linux. Недавно были обнаружены две уязвимости этого типа в популярном приложении для онлайн-конференций Zoom, которые давали теоретическую возможность удаленному злоумышленнику проникнуть в систему любого из участников группового звонка.

По оценкам IDC IDC, Dell является мировым лидером на рынке серверов. Вариант с iDRAC предлагается почти для всех текущих серверов Dell.

Уязвимости подвержены контроллеры Dell EMC iDRAC9 с версиями прошивок до 4.20.20.20. Для устранения уязвимости необходимо установить микропрограммное обеспечение Dell EMC iDRAC9 v4.20.20.20, закрыть стандартные группы public и private SNMP и использовать SNMPv3 со всеми инструкциями безопасности.

Кроме того, необходимо придерживаться лучших практик по использованию iDRAC:

  • iDRAC предназначен для работы в отдельной сети управления и не предназначен для размещения и подключения непосредственно к интернету.
  • Dell EMC рекомендует использовать выделенный порт Gigabit Ethernet, доступный на серверах, для подключения iDRAC к отдельной сети управления.
  • Наряду с размещением iDRAC в отдельной сети управления пользователи должны изолировать подсеть управления или VLAN с помощью таких технологий, как брандмауэры, и ограничить доступ к подсети или VLAN авторизованным администраторам серверов.
  • Dell EMC рекомендует использовать 256-битное шифрование, а также TLS 1.2 или выше.
  • Dell EMC рекомендует дополнительные параметры, такие как фильтрация диапазона IP-адресов и режим блокировки системы.
  • Dell EMC рекомендует использовать дополнительные параметры аутентификации, такие как Microsoft Active Directory или LDAP.
  • Dell EMC рекомендует обновлять прошивку iDRAC.

 

  1. Контроллер удаленного доступа Dell iDRAC — это аппаратный компонент, относящийся к классу baseboard management controller, размещенный на материнской плате сервера. Контроллер позволяет системным администраторам удаленно обновлять, контролировать, искать и устранять неполадки, осуществлять восстановление системы Dell, даже когда сервер выключен.
  2. SNMP — стандартный протокол для управления устройствами в IP-сетях.