Sécurité des interfaces iLO de HP
Certains serveurs construits par HP disposent d’un composant implémentant un BMC (Baseboard Management Controller) nommé iLO (Integrated Lights-Out). Ce composant implémente des fonctionnalités de gestion et de supervision bas-niveau du serveur :- site web d’administration permettant de superviser le serveur (température, alimentation, etc.), de le redémarrer à distance et de modifier la configuration du démarrage ;
- serveur SSH présentant des fonctions similaires ;
- interface clavier-souris-écran déportée (« virtual console ») ;
- lecteur CD ou disquette virtuel déporté (« virtual media »).
L’avis CERTFR-2017-ACT-014 publié en avril 2017 décrit les interfaces IPMI (Intelligent Platform Management Interface), dont l’iLO est la mise en œuvre par HP. Il indique quelques bonnes pratiques :
- « Un tel composant doit être connecté en hors bande via sa carte réseau dédiée afin de ne pas exposer ses fonctionnalités. »
- « De par leur nature et leur configuration par défaut, les implémentations d’IPMI réalisées par les constructeurs constituent des failles de sécurité non négligeables. La première bonne pratique consiste à mettre celles-ci sur un réseau d’administration séparé d’Internet, au moins logiquement (ex : vlan), ou au mieux physiquement avec des équipements réseau dédiés. »
- « si l’utilisation de l’IPMI n’est pas indispensable, il est fortement recommandé de le désactiver. »
- La vulnérabilité CVE-2017-12542 (avis CERTFR-2017-AVI-273) publiée en août 2017 permet de contourner le système d’authentification par le simple ajout d’un entête HTTP et d’exécuter des commandes arbitraires sur un iLO et le système d’exploitation principal. Une preuve de concept d’exploitation de cette vulnérabilité a été publiée sur Twitter (https://twitter.com/marcan42/status/1008981518159511553) et des outils d’exploitation ont été publiés sur GitHub.
- La vulnérabilité CVE-2018-7078 (avis CERTFR-2018-AVI-315) publiée en juin 2018 permet d’exécuter du code arbitraire sur un iLO depuis le système d’exploitation principal en utilisant un compte privilégié (par exemple root sur Linux), ainsi que depuis le réseau pour un utilisateur authentifié. Cela explique la formulation "Remote or Local Code Execution" dans la description écrite par HP dans son bulletin de sécurité.
- La vulnérabilité CVE-2018-7105 (avis CERTFR-2018-AVI-515) publiée en octobre 2018 permet d’exécuter du code arbitraire sur un iLO en utilisant un compte d’administrateur, ce qui permet de compromettre l’intégralité du système et de contourner les mécanismes de signature de code de HP.
- iLO 3 1.90 pour un serveur utilisant iLO 3
- iLO 4 2.61 pour un serveur utilisant iLO 4
- iLO 5 1.35 pour un serveur utilisant iLO 5
Documentation
- Bulletin d'actualité CERTFR-2017-ACT-014 du CERT-FR /actualite/CERTFR-2017-ACT-014/
- Avis CERTFR-2017-AVI-273 du CERT-FR /avis/CERTFR-2017-AVI-273/
- Bulletin de sécurité HPE hpesbhf03769en_us du 24 août 2017 https://h20565.www2.hpe.com/hpsc/doc/public/display?docId=hpesbhf03769en_us
- Avis CERTFR-2018-AVI-315 du CERT-FR /avis/CERTFR-2018-AVI-315/
- Bulletin de sécurité HPE hpesbhf03844en_us du 26 juin 2018 https://support.hpe.com/hpsc/doc/public/display?docId=hpesbhf03844en_us
- Avis /CERTFR-2018-AVI-515 du CERT-FR /avis/CERTFR-2018-AVI-515/
- Bulletin de sécurité HPE hpesbhf03866en_us 22 octobre 2018 https://support.hpe.com/hpsc/doc/public/display?docId=hpesbhf03866en_us
