-
April 27th, 2018, 01:04
#1
عضو انجمن
هشدار مهم در خصوص انتشار باجافزار با سوء استفاده از درگاه مدیریتی iLO سرورهای شرکت HP
هشدار مهم در خصوص انتشار باجافزار با سوء استفاده از درگاه مدیریتی iLO سرورهای شرکت HP
طی 24 ساعت گذشته، رصد فضای مجازی نشان دهنده حملاتی مبتنی بر #آسیبپذیری های موجود در سرویس #iLo سرورهای #HP بوده است. سرویس iLo یک درگاه مستقل فیزیکی میباشد که جهت مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده میگردد. این سرویس حتی در صورت خاموش بودن سرورها به مهاجم قابلیت راه اندازی مجدد و دسترسی غیر مجاز را میدهد. حملات مذکور بر روی نسخههای مختلف مانند iLO 2 و iLO 3 و iLO 4 مشاهده شده است. اقدامات کلی بعمل آمده:
- با اعلام حمله باجافزاری از سوی یکی از قربانیان از وقوع نوع جدیدی از حمله باجافزاری بر روی درگاههای iLO اطمینان حاصل گردید.
- بررسیهای بیشتر برای شناسایی قربانیان حمله انجام شده و با تعدادی از قربانیان در ایران و کشورهای دیگر برای بررسی بیشتر، تماس حاصل شده است.
- رصد فضای آدرس IP کشور بر روی درگاههای iLO انجام گرفت و سرورهای آسیبپذیر شناسایی گردیدند. با شماری از صاحبان این سرویس بر روی بستر اینترنت که در معرض تهدید میباشند تماس گرفته شده و هشدار لازم ارائه شد.
- لازم به ذکر است بررسیها در این خصوص ادامه دارد و جزییات بیشتری در این خصوص منتشر خواهد شد.
توصیههای امنیتی:
- دسترسی درگاههای iLo از طریق شبکهی اینترنت بر روی سرورهای HP مسدود گردد. توصیه اکید میشود در صورت نیاز و استفاده از iLO، با استفاده از راهکارهای امن نظیر ارتباط *** اتصال مدیران شبکه به اینگونه سرویسدهندهها برقرار گردد.
- در صورت مشاهده هرگونه موردی نظیر پیام باجخواهی در iLo Security Login Banner ، تغییر در Boot Order، بهم ریختگی یا پاک شدن بی دلیل پیکربندی و اطلاعات یا هر مورد مرتبط و مشکوک دیگر با مرکز ماهر تماس حاصل نمایید
ویرایش توسط NetworkFA : April 27th, 2018 در ساعت 01:12
-
تعداد تشکر ها ازNetworkFA به دلیل پست مفید
-
April 27th, 2018 01:04
# ADS
-
April 27th, 2018, 01:26
#2
عضو انجمن
پاسخ : هشدار مهم در خصوص انتشار باجافزار با سوء استفاده از درگاه مدیریتی iLO سرورهای شرکت HP
سلام
با توجه به اینکه تمامی سرورهای ما برند HP هستند تمامی ilo ها جهت پیشگیری از همان ابتدا پس از اتمام کانفیگ سرور ان را
پشت فایروال سخت افزاری قرار میدهیم که در چنین اتفاقات احتمالی که الان در سطح دنیا شاهد هستیم نباشیم ( ایپی را nullroute میکنیم و هنگامی که نیاز است باز میکنیم )
در واقع حمله بدین صورت انجام می شود:
اتکر به ilo حمله می کند و پس از دسترسی موفق به سرور ایزوی خود را مانت می کند و سپس سرور را ریستارت کرده و با استفاده از ایزویی که اپلود کردند اطلاعات هارد را Encrypt میکند و پس از اتمام مجددا سرور را ریبوت می کنند و در نهایت هنگام بوت شدن سرور پیام No boot Device found و در نهایت پیامی که در پست اول درج شده است نشان مید هد
به همکاران پیشنهاد می شود زودتر ilo خودرا غیر فعال کنند و یا ارتباط ان را به ایپی مشخصی تنظیم کنند
موفق باشید
ویرایش توسط novinvps.com : April 27th, 2018 در ساعت 01:28
-
-
April 27th, 2018, 01:43
#3
پاسخ : هشدار مهم در خصوص انتشار باجافزار با سوء استفاده از درگاه مدیریتی iLO سرورهای شرکت HP
با سلام
مدت هاست زمانی که من لاگ های ilo رو بررسی میکنم،تلاش های ناموفق برای ورود از روی پورت ssh رو میبینم.
الان پورت ssh رو عوض کردم ببینم باز این اتفاق می افته یا نه.
تا حالا که هک نشدیم
ILO 4
- - - Updated - - -
New Bitmap Image (4).jpg
-
-
April 27th, 2018, 01:52
#4
عضو انجمن
پاسخ : هشدار مهم در خصوص انتشار باجافزار با سوء استفاده از درگاه مدیریتی iLO سرورهای شرکت HP
نوشته اصلی توسط
Alt+F4
با سلام
مدت هاست زمانی که من لاگ های ilo رو بررسی میکنم،تلاش های ناموفق برای ورود از روی پورت ssh رو میبینم.
الان پورت ssh رو عوض کردم ببینم باز این اتفاق می افته یا نه.
تا حالا که هک نشدیم
ILO 4
- - - Updated - - -
New Bitmap Image (4).jpg
درصورتی که نیاز به ssh ندارید disable کنید
-
-
April 27th, 2018, 01:55
#5
پاسخ : هشدار مهم در خصوص انتشار باجافزار با سوء استفاده از درگاه مدیریتی iLO سرورهای شرکت HP
نوشته اصلی توسط
NetworkFA
درصورتی که نیاز به ssh ندارید disable کنید
ssh استفاده نمیکنم،ولی ظاهرا وقتی دیسیبل بکنید تمام دسترسی ها قطع میشه(بالای پورت ها فقط یک گزینه دیسیبل کلی هست)،ورژن 2.54 ilo استفاده میکنم.
-
-
April 27th, 2018, 02:09
#6
عضو انجمن
پاسخ : هشدار مهم در خصوص انتشار باجافزار با سوء استفاده از درگاه مدیریتی iLO سرورهای شرکت HP
نوشته اصلی توسط
Alt+F4
ssh استفاده نمیکنم،ولی ظاهرا وقتی دیسیبل بکنید تمام دسترسی ها قطع میشه(بالای پورت ها فقط یک گزینه دیسیبل کلی هست)،ورژن 2.54 ilo استفاده میکنم.
اینجا
-
تعداد تشکر ها از NetworkFA به دلیل پست مفید