12.07.2018
Schwere Lücke in iLO
Risiken durch ungepatchte HPE-Server
Autor: Andreas Fischer
Sergiy Palamarchuk / shutterstock.com
Sicherheitsforscher haben sich intensiv mit einer schon vor Monaten von HPE gepatchten Schwachstelle in iLO beschäftigt. Admins, die das Update noch nicht eingespielt haben, sollten dies nun dringend nachholen.
Sicherheitsexperten werden nicht müde, ein möglichst schnelles Einspielen von Sicherheits-Patches zu predigen. Trotzdem finden sich in vielen Unternehmen immer wieder Systeme, die sich aus unterschiedlichen Gründen auf einem alten Patch-Level befinden und deswegen nicht selten voller Sicherheitslücken sind. Ein aktuelles Beispiel dafür sind Enterprise-Server von HPE, die mit iLO (Integrated Lights-Out) gemanaged werden. Eine einzige Zeile Code soll schon ausreichen, um ernsthaften Schaden auf ungepatchten Servern von HPE anzurichten.
Die dafür ausgenutzte Sicherheitslücke wurde von HPE schon in der iLO-Version 2.53 geschlossen. Die Schwachstelle wurde vom National Institute of Standards and Technology (NIST) auf einer bis 10 reichenden Skala mit dem Score 9,8 für „kritisch“ eingestuft. Der Server-Hersteller wollte zunächst jedoch keine weiterenb Details zu der in CVE-2017-12542 beschriebenen Lücke veröffentlichen. Mitarbeiter von Airbus, Synacktiv und Insomnihack haben jedoch ein Whitepaper mit einer Beschreibung möglicher Angriffswege veröffentlicht.
Schwachstelle in Integrated Lights-Out
In diesem Whitepaper gehen sie zunächst auf die Bedeutung von iLO ein. Das Tool wird auf fast allen seit 10 Jahren verkauften HP- und HPE-Servern verwendet, um sie aus der Ferne verwalten zu können. Es läuft auf einem dedizierten ARM-Prozessor und ist so unabhängig vom Hauptprozessor des Servers. Die Forscher fanden bei ihren Untersuchungen mindestens eine kritische Lücke in der Web-Server-Komponente von iLO. Damit soll die Ausführung von fremdem Code aus der Ferne sowie ein Umgehen der Server-Authentifizierung möglich sein.
Wie The Register schreibt, soll schon eine einzige Zeile Code ausreichen, um die Lücke auszunutzen. Das Online-Magazin hat auch eine Präsentation und Hinweise auf existierende Exploits gefunden. Administratoren, die HPE-Server betreuen, sollten die aktuellen Patches für iLO deswegen so schnell wie möglich einspielen.
Huawei Roadshow 2024
Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs
Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>