Sécurité des interfaces iLO de HP

Certains serveurs construits par HP disposent d’un composant implémentant un BMC (Baseboard Management Controller) nommé iLO (Integrated Lights-Out). Ce composant implémente des fonctionnalités de gestion et de supervision bas-niveau du serveur :
  • site web d’administration permettant de superviser le serveur (température, alimentation, etc.), de le redémarrer à distance et de modifier la  configuration du démarrage ;
  • serveur SSH présentant des fonctions similaires ;
  • interface clavier-souris-écran déportée (« virtual console ») ;
  • lecteur CD ou disquette virtuel déporté (« virtual media »).
L’interaction avec une interface iLO utilise des protocoles tels que HTTPS, SSH, IPMI, SNMP, etc.

L’avis CERTFR-2017-ACT-014 publié en avril 2017 décrit les interfaces IPMI (Intelligent Platform Management Interface), dont l’iLO est la mise en œuvre par HP. Il indique quelques bonnes pratiques :

  • « Un tel composant doit être connecté en hors bande via sa carte réseau dédiée afin de ne pas exposer ses fonctionnalités. »
  • « De par leur nature et leur configuration par défaut, les implémentations d’IPMI réalisées par les constructeurs constituent des failles de sécurité non négligeables. La première bonne pratique consiste à mettre celles-ci sur un réseau d’administration séparé d’Internet, au moins logiquement (ex : vlan), ou au mieux physiquement avec des équipements réseau dédiés. »
  • « si l’utilisation de l’IPMI n’est pas indispensable, il est fortement recommandé de le désactiver. »
Depuis la publication de cet avis, plusieurs vulnérabilités critiques ont été corrigées par HP :
  • La vulnérabilité CVE-2017-12542 (avis CERTFR-2017-AVI-273) publiée en août 2017 permet de contourner le système d’authentification par le simple ajout d’un entête HTTP et d’exécuter des commandes arbitraires sur un iLO et le système d’exploitation principal. Une preuve de concept d’exploitation de cette vulnérabilité a été publiée sur Twitter (https://twitter.com/marcan42/status/1008981518159511553) et des outils d’exploitation ont été publiés sur GitHub.
  • La vulnérabilité CVE-2018-7078 (avis CERTFR-2018-AVI-315) publiée en juin 2018 permet d’exécuter du code arbitraire sur un iLO depuis le système d’exploitation principal en utilisant un compte privilégié (par exemple root sur Linux), ainsi que depuis le réseau pour un utilisateur authentifié. Cela explique la formulation "Remote or Local Code Execution" dans la description écrite par HP dans son bulletin de sécurité.
  • La vulnérabilité CVE-2018-7105 (avis CERTFR-2018-AVI-515) publiée en octobre 2018 permet d’exécuter du code arbitraire sur un iLO en utilisant un compte d’administrateur, ce qui permet de compromettre l’intégralité du système et de contourner les mécanismes de signature de code de HP.
Toutes ces vulnérabilités ont été corrigées dans les versions les plus récentes du micrologiciel (firmware) de l’iLO publié par HP. Il est donc recommandé d’appliquer les mises à jour disponibles sur le site du constructeur pour installer au moins les versions suivantes :
  • iLO 3 1.90 pour un serveur utilisant iLO 3
  • iLO 4 2.61 pour un serveur utilisant iLO 4
  • iLO 5 1.35 pour un serveur utilisant iLO 5
Des relèves effectuées sur l’Internet français montrent que 41,9% des interfaces iLO qui y sont exposées utilisent une version vulnérable. Le non-suivi des bonnes pratiques de l’avis CERTFR-2017-ACT-014 induit ainsi une menace directe de compromission des serveurs administrés par ces interfaces.

Documentation

Rappel des publications émises

Dans la période du 31 décembre 2018 au 06 janvier 2019, le CERT-FR a émis les publications suivantes :