Schwere Lücke in iLO
13.07.2018, 06:55 Uhr
Risiken durch ungepatchte HPE-Server
Sicherheitsforscher haben sich intensiv mit einer schon vor Monaten von HPE gepatchten Schwachstelle in iLO beschäftigt. Admins, die das Update noch nicht eingespielt haben, sollten dies nun dringend nachholen.
Sicherheitsexperten werden nicht müde, ein möglichst schnelles Einspielen von Sicherheits-Patches zu predigen. Trotzdem finden sich in vielen Unternehmen immer wieder Systeme, die sich aus unterschiedlichen Gründen auf einem alten Patch-Level befinden und deswegen nicht selten voller Sicherheitslücken sind. Ein aktuelles Beispiel dafür sind Enterprise-Server von HPE, die mit iLO (Integrated Lights-Out) gemanaged werden. Eine einzige Zeile Code soll schon ausreichen, um ernsthaften Schaden auf ungepatchten Servern von HPE anzurichten.
Die dafür ausgenutzte Sicherheitslücke wurde von HPE schon in der iLO-Version 2.53 geschlossen. Die Schwachstelle wurde vom National Institute of Standards and Technology (NIST) auf einer bis 10 reichenden Skala mit dem Score 9,8 für „kritisch“ eingestuft. Der Server-Hersteller wollte zunächst jedoch keine weiterenb Details zu der in CVE-2017-12542 beschriebenen Lücke veröffentlichen. Mitarbeiter von Airbus, Synacktiv und Insomnihack haben jedoch ein Whitepaper mit einer Beschreibung möglicher Angriffswege veröffentlicht.
Schwachstelle in Integrated Lights-Out
In diesem Whitepaper gehen sie zunächst auf die Bedeutung von iLO ein. Das Tool wird auf fast allen seit 10 Jahren verkauften HP- und HPE-Servern verwendet, um sie aus der Ferne verwalten zu können. Es läuft auf einem dedizierten ARM-Prozessor und ist so unabhängig vom Hauptprozessor des Servers. Die Forscher fanden bei ihren Untersuchungen mindestens eine kritische Lücke in der Web-Server-Komponente von iLO. Damit soll die Ausführung von fremdem Code aus der Ferne sowie ein Umgehen der Server-Authentifizierung möglich sein.
Wie The Register schreibt, soll schon eine einzige Zeile Code ausreichen, um die Lücke auszunutzen. Das Online-Magazin hat auch eine Präsentation und Hinweise auf existierende Exploits gefunden. Administratoren, die HPE-Server betreuen, sollten die aktuellen Patches für iLO deswegen so schnell wie möglich einspielen.