Интерфейс IPMI позволяет атаковать выключенный сервер через интернет
Главная » Новости
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Интерфейс IPMI позволяет атаковать выключенный сервер через интернет

Александр Панасенко 11 Июня 2012 - 14:11
...

Йоханнес Ульрих (Johannes Ullrich) из SANS Technology Institute описывает потенциальную опасность, которую представляет собой интерфейс IPMI (Intelligent Platform Management Interface). Компания Intel придумала интерфейс IPMI для удалённого управления серверами, в том числе для перезагрузки сервера, если операционная система не отвечает.

За последние годы IPMI претерпел ряд ревизий и различных реализаций, так что набор поддерживаемых функций на конкретном сервере зависит от производителя материнской платы и версии прошивки. Но есть некоторые общие функции для всех реализаций IPMI.

  • IPMI активен всегда, когда сервер подключён к источнику электропитания, независимо от того, включён сам сервер или нет;
  • IPMI реализован в виде отдельной микросхемы на материнской плате, для работы ему не требуется CPU, RAM или другие компоненты;
  • IPMI может использовать существующую сетевую карту и не нуждается в отдельной сетевой плате.

Если операционная система поддерживает IPMI, то с помощью специального серверного ПО можно подключиться к нему и получить информацию с различных сенсоров. Среди таких программ — OpenIPMI и FreeIPMI, передает xakep.ru.

IPMI версии 1.0 работал через серийный порт, а с версии 1.5 стало возможным запускать окно терминала через IP, версия 2.0 содержит поддержку блейдов, vLan и дополнительные функции из современных сетевых стандартов. В последних реализациях IPMI представляет полнофункциональный сервис для удалённого управления, включая такие функции как смену прошивки на сервере.

Разумеется, многие системные администраторы не соблюдают меры безопасности, в том числе не закрывают доступ по HTTP и не меняют пароль по умолчанию для IPMI, о чём и рассказывает Йоханнес Ульрих.

Видео вы можете посмотреть перейдя по ссылке

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Троян Android.MagicAd пролез в официальные магазины Xiaomi и Samsung
Екатерина Быстрова 09 Июня 2026 - 18:59
Android Трояны Домашние пользователи Доктор Веб
Троян Android.MagicAd пролез в официальные магазины Xiaomi и Samsung

Пользователям Android снова напомнили, что даже официальный магазин приложений не всегда гарантирует безопасность. Специалисты «Доктор Веб» обнаружили семейство троянов Android.MagicAd, которое научилось показывать рекламу поверх других приложений, обходя встроенные защитные механизмы операционной системы.

Особенность Android.MagicAd в том, что он действует максимально скрытно. Вредоносный код хранится внутри зашифрованных нативных библиотек и расшифровывается только во время работы приложения.

Перед активацией троян проверяет окружение: ищет признаки виртуальных машин, анализирует способ установки приложения и даже проверяет IP-адрес устройства. Если всё выглядит безопасно для злоумышленников, вредонос приступает к работе.

После запуска Android.MagicAd скрывает свою иконку, создаёт фоновые службы и начинает демонстрировать рекламные баннеры. Причём делает это без разрешения SYSTEM_ALERT_WINDOW, которое обычно требуется для вывода окон поверх других приложений.

 

Вместо этого троян использует целый набор нестандартных приёмов. Например, на устройствах Xiaomi он взаимодействует с браузером Mi Browser и компонентами MIUI, на смартфонах Vivo использует системные сервисы через механизм Binder, а на устройствах Amazon эксплуатирует домашний экран Fire TV.

Есть и универсальный метод. Вредонос запускает медиаплеер с практически нулевой громкостью, имитирует нажатие мультимедийных кнопок и использует системные механизмы управления воспроизведением как точку входа для показа рекламы. Со стороны всё выглядит как обычная работа мультимедийных функций Android.

По данным Doctor Web, заражённые приложения распространялись через официальный магазин Xiaomi GetApps, а также были замечены в Samsung Galaxy Store. Всего исследователи насчитали более 50 вредоносных приложений.

Авторы кампании старались не привлекать лишнего внимания. Приложения появлялись в магазинах на ограниченное время, затем удалялись и заменялись новыми программами от тех же разработчиков. Такой подход позволял поддерживать заражения и одновременно снижать риск обнаружения.

На данный момент вредоносные приложения уже удалены из каталогов, а связанные с ними учётные записи разработчиков перестали публиковать новые программы. Однако установленные ранее копии продолжают работать на устройствах пользователей.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
Газонокосилка под контролем хакера: у Yarbo нашли опасные уязвимости
Новость
Газонокосилка под контролем хакера: у Yarbo нашли опасные уя...
Билайн готов организовать доступ к VPN из белого списка
Новость
Билайн готов организовать доступ к VPN из белого списка
Нейросети научились ломать без кода, теперь их просто газлайтят
Новость
Нейросети научились ломать без кода, теперь их просто газлай...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.