故障现象:
Lenovo 安全公告:LEN-10617
潜在影响:如果未更改缺省设置,则可通过 IPMI 访问系统
影响范围:全行业
CVE ID:CVE-2013-4037、CVE-2013-4031
摘要描述:
IT安全社区中已确定并记载行业标准的智能平台管理接口(IPMI)有多种风险。由于Lenovo System x Integrated Management Model(IMM)、IMM2 和ThinkServer System Manager(TSM)缺省提供IPMI访问,因此其中已确定的一部分风险存在于这些服务器。
智能平台管理接口(IPMI)是Lenovo及其他200多个计算机系统供应商支持的一种行业标准协议,它包括系统管理员不依赖于计算机系统的 CPU、固件和操作系统,对主计算机系统进行带外管理和监视的一组计算机接口规范。
CVE ID:CVE-2013-4037
描述:
IPMI 标准指定用于进行身份验证的 RAKP 协议有缺陷。虽然 IMM 和 TSM 不允许使用空密码,但黑客有可能对 RAKP 事务进行反向工程而确定密码。IPMI 的身份验证过程要求管理控制器在进行客户端身份验证之前将所请求的用户密码的哈希值发送到客户端。此过程是 IPMI 规范的一个关键部分。可使用离线暴力攻击或字典式攻击破解该密码哈希值。
CVSS 基本分数:4.3
CVSS 矢量:(AV:N/AC:M/Au:N/C:N/I:P/A:N)
CVE ID:CVE-2013-4031
描述:
IMM、IMM2 和 ThinkServer TSM 预先配置了一个IPMI用户帐户,它在所有受影响的系统上具有相同的缺省登录名和密码。如果恶意用户使用此预先配置的帐户访问 IPMI 接口,则他或她将可关闭或开启主机服务器电源或重新启动主机服务器,可创建或更改用户帐户,还有可能阻止合法用户访问 IMM。
此外,如果用户未能更改他或她已部署的每个系统上的缺省用户名和密码,则该用户将用相同的登录信息访问这些系统上的每个 IMM。
CVSS 基本分数:10
CVSS 矢量:(AV:N/AC:L/Au:N/C:C/I:C/A:C)
解决方案:
应采取哪些措施进行自我保护:
- 部署服务器后,更改预先配置的用户名和密码。这样做将阻止未经授权的用户通过预先配置的用户帐户访问 IMM。
- 如果用户不使用 IPMI 管理服务器,则可配置 IMM 和 TSM 以不允许从这些用户帐户通过网络访问 IPMI。可使用 IPMItool 实用程序或用于管理和配置 IPMI 管理控制器的类似实用程序实现这一点。下面是 IPMItool 实用程序命令禁止 IPMI 用户通过网络进行访问的示例:
IPMItool channel setaccess 1 #user_slot# privilege=15
请将上方命令中的 #user_slot# 替换为实际插槽编号(1 至 12),并对已配置的每个 IMM/IMM2/TSM 用户重复运行该命令。上方的示例详细介绍直接在服务器自身上运行的命令。如果通过网络远程运行 IPMItool 命令或使用不同的实用程序,则命令将有所不同。请查阅所用实用程序的文档以确定正确的命令语法。不允许通过网络访问 IPMI 将无法利用 IPMI RAKP 协议中存在的弱点发现用户帐户凭证。
- 可一并禁止 IMM 和 IMM2 通过网络访问 IPMI。CLI 命令 portcontrol -ipmi off 将禁止通过网络访问 IPMI,并将在 IMM 和 IMM2 重新启动之后继续生效。
- 要在 TSM 上禁用 IPMI over LAN 网络访问,请按照下方的步骤进行操作(注意:禁用 IPMI over LAN 后,仍可使用 IPMI over KCS/SSH):
- 登录到 ThinkServer TSM
- 单击向右箭头以显示主菜单图标
- 单击“服务管理”图标
- 从服务列表中选择“IPMI over LAN”
- 将“状态”滑块开关移至“关”位置
- 单击“应用”,然后从确认屏幕中选择“是”以接受您的选择
- 在“成功”通知屏幕上单击“确定”
- 使用复杂密码,长度至少为 16 个字符,并混用大小写字母、数字和特殊字符。使用更长、更复杂的密码使恶意用户更难以发现有效的用户凭证。
- 使管理网络与公共网络保持分离。使管理网络保持分离通过减少可访问 IMM 和 TSM 的人数,减少安全漏洞。
- 注意:Lenovo XClarity Administrator 使用 IPMI 管理 ThinkServer 系统和某些 System x 系统。如果使用 XClarity Administrator 管理您的硬件,则确保未禁用用于管理的 IPMI 帐户。
产品影响:
所有使用IPMI的Lenovo系统,包括但不限于:
System x
BladeCenter HS22/HS22V/HS23/HS23E/HX5
Flex System x220 M4/x222 M4/x240 M4/x240 M5/x280/x280 X6
Flex System x440 M4/x480/x480 X6
Flex System x880/x880 X6
iDataPlex dx360 M2/dx360 M3/dx360 M4/ dx360 M4 Water Cooled
NeXtScale nx360 M4/nx360 M5
System x3100 M4/ x3100 M5
System x3250 M4/ x3250 M5/x3250 M6
System x3300 M4
System x3500 M2/ x3500 M3/ x3500 M4/x3500 M5
System x3530 M4
System x3550 M2/x3550 M3/x3550 M4/x3550 M5
System x3560 M2/x3560 M3
System x3630 M3/x3630 M4
System x3650 M3/x3650 M4/ x3650 M4 BD/x3650 M4 HD/x3650 M5
System x3690 X5
System x3750 M4/x3750 M5
System x3850 X5/x3850 X6
System x3950 X5/x3950 X6
ThinkServer
ThinkServer DC5000/DC5100
ThinkServer RD330/RD340/RD350/RD350X
TThinkServer RD430/RD430X/RD440/RD440X/RD450/RD450X
ThinkServer RD530/RD540/RD550
ThinkServer RD630/RD640/RD640X/RD650
ThinkServer RQ750/RQ940
ThinkServer RS140/RS160
ThinkServer SD330/SD350
ThinkServer SS430/SS440/SS440X
ThinkServer TD340/TD350
ThinkServer TS130/TS140/TS150
ThinkServer TS240/TS250
ThinkServer TS430/TS440/TS450
ThinkServer TS540/TS550
其他信息和参考资料:
https://www-947.ibm.com/support/entry/portal/docdisplay?lndocid=migr-5093463
修订历史:
修订版本 | 日期 | 描述 |
1 | 9/29/2016 | 初始版本 |
最新信息请关注Lenovo关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo保留随时更改或更新该公告的权利。