freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

基于IPMI协议的DDoS反射攻击分析
2018-04-02 11:28:44

0x00 前言

百度智云盾平台在近期,防御了一次峰值2Gbps反射类型的DDOS攻击,通过安全分析,认定这是一次新型的反射DDoS攻击,该攻击使用了IPMI协议进行攻击,在国内尚未查到相关的案例。

IPMI(Intelligent Platform ManagementInterface)智能平台管理接口,原本是一种Intel架构的企业系统的周边设备所采用的一种工业标准。IPMI亦是一个开放的免费标准,用户无需支付额外的费用即可使用此标准。

IPMI 能够横跨不同的操作系统、固件和硬件平台,可以智能的监视、控制和自动回报大量服务器的运行状况,以降低服务器系统成本。IPMI基于UDP协议进行传输,基于该协议建立的远程管理控制服务,默认绑定在623端口。

0x01 攻击分析

image.png

这个攻击过程持续了15分钟,峰值超过2Gbps。攻击来源IP共有54828个,攻击来源端口都是623,使用协议IPMI,长度为72字节。对数据包的内容进行具体分析,判断攻击包几乎都是IPMI协议的ping响应包。如图所示:

image.png

最初怀疑是攻击者伪造源IP实施的Flood攻击,但验证这54828个攻击源IP的623端口,存活率超过98%,很明显是一种反射攻击。分析反射源的地址位置特征,全球分布如下图示:

image.png

美国占了接近40%,TOP30国家排名如下图示:

image.png

0x02 关联风险分析

本次攻击采用的IPMIping攻击包,与常规的ping 类似,不同之处ping使用了ICMP协议传输。

IPMI 协议广泛用在Supermicro, Dell, HP, IBM的板载卡管理系统中。而这些存在着默认密码,甚至有些存在长久的Web漏洞可以直接获取密码。认证后可以操作除了ping之外更多的操作,如监控等数据。此时返回数据字节数会远大于请求数据。

设备分布:

全网分析共有133000个IPMI设备暴露在公网中。其中HP iLO, Supermicro IPMI, Dell iDARC三种设备占据75%以上的份额。因此,之前暴露出的安全问题也基本围绕着这几款设备。

image.png

IPMI设备攻击面:

1、Web管理接口

通常是HTTP的80或者443端口,出现过的漏洞:存在默认账号密码登录,Webserver接口溢出等漏洞。详细如下:

CVE-2013-4782 Supermicro任意IPMI命令执行

CVE-2013-3623 Supermicro cgi/close_window.cgi缓冲区溢出任意命令执行

CVE-2013-3622 Supermicro logout.cgi缓冲区溢出任意命令执行

CVE-2013-3609 Supermicro 权限绕过漏洞

CVE-2013-3607 Supermicro 任意代码执行

CVE-2013-4037 IBM IPMI明文凭证泄漏

CVE-2014-0860 IBM BladeCenter高级管理模块IPMI明文凭证泄漏


2、KVM console接口

通常为TCP 5900端口,出现过的漏洞:弱口令。


3、IPMI通讯接口

通常为UDP的623端口,出现过的漏洞:存在默认账号密码登录,协议漏洞。详细如下:

CVE-2014-8272 IPMI 1.5会话ID随机性不足

CVE-2013-4786 IPMI2.0离线密码爆破漏洞

CVE-2013-4037 IPMI密码哈希值泄漏漏洞

CVE-2013-4031 IPMI用户默认账号登录漏洞

CVE-2013-4782 Supermicro 身份验证绕过导致任意代码执行

CVE-2013-4783 Dell iDRAC6 身份验证绕过导致任意代码执行

CVE-2013-4784 Hp iLO 任意密码绕过


4、SMASH接口

通常为TCP的22端口,出现过的漏洞:弱口令。

漏洞统计:

对危害性评级为高危的漏洞进行统计。共有24500个IP存在高危漏洞。总体占比18.5%。

1、IPMI 2.0 Cipher Zero Authentication Bypass。(涉及的漏洞编号CVE-2013-4782,CVE-2013-4783,CVE-2013-4784)远程攻击者可通过使用密码套件0(又名cipher zero)和任意的密码,利用该漏洞绕过身份认证,执行任意IPMI命令。IPMI 2.0使用cipher zero加密组件时,攻击者只需要知道一个有效的用户名就可以接管IPMI的功能。而大部分设备都存在默认账号和密码。

设备 默认账号 默认密码
DELL root calvin
HP Administrator 随机密码
IBM USERID PASSW0RD
SUPERMICRO ADMIN ADMIN
ORACLE root changeme
ASUS admin admin
FUJITSU admin admin
Huawei root Huawei12#$

全网扫描结果:

17716个IP存在Cipher Zero Authentication Bypass漏洞。


2、IPMI V1.5会话ID随机性不足

IPMI v1.5 使用Session-ID 进行认证,Session-ID的取值范围(2^32)。部分远程控制卡在实现过程中,采用的Session-ID是0x0200XXYY格式。其中XX可以直接预测,黑客伪造YY的数值,可以在低权限或者未认证的情况下,启用新session执行任意命令。

全网扫描结果:

2918 个IP存在会话ID随机性不足的漏洞。


3、开启匿名帐户登录或明文密码泄露

SuperMicro老版本在49152放置了明文密码文件。攻击者可以通过请求服务器49152端口的/PSBlock文件,就可得到80端口web管理界面的密码,密码放在PSBlock文件中。 

全网扫描结果:

390个IP存在明文密码泄露,3776个IP允许匿名帐户登录。

漏洞地理分布:

image.png

image.png

板载卡管理系统往往不注重Web安全,更新也需要升级固件,很多公司往往忽略这些工作,导致很多有漏洞的平台裸露在公网中,非常容易成为黑客攻击的目标。 

通过扫描此次DDoS攻击源进行分析,有近一半的IP属于Supermicro IPMI管理平台。而Supermicro IPMI管理平台也曾被爆出很多漏洞,其中“明文格式存储密码文件PSBlock漏洞”影响较大,存在这类漏洞的机器被黑客劫持后,常用来当作DDoS攻击的“肉鸡”。根据安全人员的分析,在2014年8月就有攻击者劫持了多达100,000的此类“肉鸡”发起了针对ComputerworldUK.com的混合DDoS攻击,攻击峰值达300Gbps,持续一天以上。

0x03 反射攻击趋势分析

本次攻击使用的IPMIping包

IPMIping  传输如下:

image.png

Req请求 65字节,返回72字节。放大比例1.1倍。

但从放大比例上看,IPMI的ping包并不是一个好的“反射”放大协议。

但IPMIping 由于攻击包小,来源广泛,可能会穿透部分传统设备。

从最近的几次反射攻击事件看,一些使用量中等规模的UDP服务逐渐黑客利用起来,包括之前的Memcached反射,放大倍数利率达到50000倍,非常惊人。即使互联网上公共开放的数量只有10几万,也能产生大于1T的流量攻击。

无认证逻辑,或者弱认证逻辑(包含默认密码),不常见的UDP服务逐渐成为黑客发动攻击的首选。 

0x04 关于团队

智云盾基于百度安全成熟的防御技术,通过灵活的合作模式,旨在为合作伙伴的IDC环境内建设和提供安全基础设施,为其本地快速检测和防御DDoS攻击提供解决方案,同时还能为其客户提供自动化且无限扩展的DDoS云防服务。此外智云盾平台集成包括资产弱点评估、黑客攻击检测、实时安全防御和威胁情报等一系列百度安全能力,在提高IDC安全能力的同时,为最终客户提供安全增值服务。了解更多请访问:https://dun.baidu.com

# 反射型DDoS攻击 # 百度智云盾 # IPMI
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者