Главная » Новости

Интерфейс IPMI позволяет атаковать выключенный сервер через интернет

Александр Панасенко 11 Июня 2012 - 14:11
...

Йоханнес Ульрих (Johannes Ullrich) из SANS Technology Institute описывает потенциальную опасность, которую представляет собой интерфейс IPMI (Intelligent Platform Management Interface). Компания Intel придумала интерфейс IPMI для удалённого управления серверами, в том числе для перезагрузки сервера, если операционная система не отвечает.

За последние годы IPMI претерпел ряд ревизий и различных реализаций, так что набор поддерживаемых функций на конкретном сервере зависит от производителя материнской платы и версии прошивки. Но есть некоторые общие функции для всех реализаций IPMI.

  • IPMI активен всегда, когда сервер подключён к источнику электропитания, независимо от того, включён сам сервер или нет;
  • IPMI реализован в виде отдельной микросхемы на материнской плате, для работы ему не требуется CPU, RAM или другие компоненты;
  • IPMI может использовать существующую сетевую карту и не нуждается в отдельной сетевой плате.

Если операционная система поддерживает IPMI, то с помощью специального серверного ПО можно подключиться к нему и получить информацию с различных сенсоров. Среди таких программ — OpenIPMI и FreeIPMI, передает xakep.ru.

IPMI версии 1.0 работал через серийный порт, а с версии 1.5 стало возможным запускать окно терминала через IP, версия 2.0 содержит поддержку блейдов, vLan и дополнительные функции из современных сетевых стандартов. В последних реализациях IPMI представляет полнофункциональный сервис для удалённого управления, включая такие функции как смену прошивки на сервере.

Разумеется, многие системные администраторы не соблюдают меры безопасности, в том числе не закрывают доступ по HTTP и не меняют пароль по умолчанию для IPMI, о чём и рассказывает Йоханнес Ульрих.

Видео вы можете посмотреть перейдя по ссылке

Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft Graph API используется как проводник вредоноса
Вероника Дубровская 06 Мая 2024 - 20:05
Целевые атакиТаргетированные атаки Корпорации
Microsoft Graph API используется как проводник вредоноса

Киберпреступники все чаще используют Microsoft Graph API во вредоносных кампаниях, чтобы избежать обнаружения. Как правило, вектор фигурирует в целевых атаках, организованных подготовленными группировками.

Из отчёта Symantec известно, что это делается для облегчения связи с командно-контрольной (C&C) инфраструктурой, размещенной на облачных сервисах Microsoft.

По данным специалистов, с января 2022 года несколько киберпреступных групп, включая APT28, Red Stinger, OilRig и другие, активно используют Microsoft Graph API.

В первый раз об использовании Microsoft Graph API в атаках стало известно в июне 2021. Тогда это связали с кластером активности под названием Harvester, в котором был обнаружен кастомный имплант Graphon, использующий API для взаимодействия с инфраструктурой Microsoft.

В Symantec рассказали, что эта же техника недавно фиксировалась в отношении неназванной организации на Украине. В атаке был применен ранее не задокументированный вредонос, именуемый BirdyClient (или OneDriveBirdyClient).

Обнаруженный во время кибератаки DLL-файл под названием «vxdiff.dll» совпадает с наименованием легитимного DLL, связанного с приложением Apoint («apoint.exe»). Именно он предназначен для подключения к Microsoft Graph API и использования OneDrive в качестве C&C-сервера для загрузки и скачивания файлов с него.

До сих пор неизвестен точный метод распространения DLL-файла, как и конечные цели злоумышленников.

В Symantec высказали свои мысли по поводу популярности Graph API среди хакеров. Специалисты отметили, что трафик к используемым облачным сервисам с меньшей вероятностью вызовет подозрения. Немаловажно, что это безопасный и дешёвый источник инфраструктуры, так как для таких сервисов, как OneDrive, базовые учетные записи бесплатны.

Компания Permiso показала, как злоумышленники могут злоупотреблять командами администрирования облака с привилегированным доступом для выполнения действий в виртуальных машинах.

Чаще всего это достигается путём компрометации сторонних внешних поставщиков или подрядчиков, имеющих привилегированный доступ для управления внутренними облачными средами.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Браузер DuckDuckGo получил защищённую E2EE функцию синхронизации
Новость
Браузер DuckDuckGo получил защищённую E2EE функцию синхрониз...
Осенью ожидается IPO РТК-ЦОД, общая сумма размещения — 15 млрд рублей
Новость
Осенью ожидается IPO РТК-ЦОД, общая сумма размещения — 15 мл...
Заказы клиентов сервиса доставки еды levelkitchen утекли в Сеть
Новость
Заказы клиентов сервиса доставки еды levelkitchen утекли в С...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.

Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6