压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　CVE-2014-8272漏洞分析：戴爾（Dell）遠(yuǎn)程控制卡脆弱的Session-ID機(jī)制

　　我們最近發(fā)現(xiàn)了一個(gè)Dell集成遠(yuǎn)程控制卡（iDRAC）的漏洞，Dell集成遠(yuǎn)程控制卡是集成在服務(wù)器上的小型設(shè)備。

　　黑客利用這個(gè)編號(hào)為CVE-2014-8272的漏洞，可以在低權(quán)限或者未認(rèn)證的情況下，啟用新session執(zhí)行任意命令。本文主要會(huì)講述該漏洞的細(xì)節(jié)和利用手法，并給出我們的修復(fù)建議。最后，我們會(huì)提供檢測CVE-2014-8272漏洞的工具供大家下載。

　　小科普

　　IPMI協(xié)議：整合服務(wù)器和其他系統(tǒng)（如存儲(chǔ)設(shè)備、網(wǎng)絡(luò)和通信設(shè)備）的硬件管理規(guī)范，同時(shí)支持多類操作系統(tǒng)。

　　BMC：通過與系統(tǒng)板上不同傳感器進(jìn)行通信，并在某些參數(shù)超出其預(yù)置閾值時(shí)發(fā)送警報(bào)和日志事件來監(jiān)測發(fā)生嚴(yán)重事件的系統(tǒng)。

　　iDRAC：名為Dell集成遠(yuǎn)程控制卡，是附加在服務(wù)器上的一臺(tái)小電腦，通過與服務(wù)器主板上的管理芯片BMC進(jìn)行通信，監(jiān)控與管理服務(wù)器的硬件狀態(tài)信息。它擁有自己的系統(tǒng)和IP地址，與服務(wù)器上的OS無關(guān)。

　　信道噪聲：即干擾信號(hào)，噪聲干擾不去除，就會(huì)造成信號(hào)失真，嚴(yán)重的會(huì)使得通信無法正確和有效的進(jìn)行。

　　背景：IPMI v1.5 Activation階段的Session-ID

　　在闡述細(xì)節(jié)之前，我們先來了解下IPMI v1.5信道的Session-ID：

　　用戶（遠(yuǎn)程終端）和BMC（管理系統(tǒng)）間的信道的通信過程可以分Discovery、Activation、Active三個(gè)階段建立，細(xì)節(jié)如下：

　　在Discovery階段，BMC應(yīng)答的認(rèn)證算法可以用于認(rèn)證IPMI v1.5信道終端賬戶（如ADMINISTRATOR， USER， OPERATOR）。在Activation階段，遠(yuǎn)程終端會(huì)提出賬戶憑據(jù)信息，由支持的認(rèn)證算法的管理系統(tǒng)進(jìn)行驗(yàn)證。一旦以上認(rèn)證成功后，會(huì)產(chǎn)生一個(gè)Session-ID。此Session-ID是信道的諸項(xiàng)認(rèn)證的標(biāo)志，在此以后的每次通信都需要包含這個(gè)Session-ID，包括之后的Active階段。BMC有了這個(gè)機(jī)制可以同時(shí)支持多個(gè)session通信，這是因?yàn)閟ession除了用來區(qū)別信道外，Session-ID也用于鑒別信道的權(quán)限級(jí)別。比如，遠(yuǎn)程終端用USER權(quán)限的賬戶，就是無法執(zhí)行成功“Set User Password”這個(gè)高權(quán)限命令的。

　　漏洞：Dell集成遠(yuǎn)程控制卡的Session-ID

　　Session-ID作為無符整型數(shù)，需要注意兩點(diǎn)：

　　1.在不同信道之間需要有隨機(jī)性，以保持區(qū)別

　　2.它應(yīng)該有一個(gè)可能值的范圍(2^32）

　　不幸的是，這并不是該遠(yuǎn)程控制卡（為了看起來明了，以下盡量這樣稱呼iDRAC）實(shí)際采用的規(guī)格，它采用的Session-ID是0x0200XXYY格式。Byte-3和Byte-2被設(shè)置為0×0200，也許其代表著遠(yuǎn)程控制卡支持的IPMI的版本號(hào)。這個(gè)不是重點(diǎn)，我們繼續(xù)分析。Byte-0（YY）可能是代表激活的時(shí)間周期范圍（0×00~0×03），這標(biāo)志著至少在測試的這個(gè)版本，遠(yuǎn)程控制卡能同時(shí)支持四個(gè)信道，每個(gè)時(shí)間周期對(duì)應(yīng)一個(gè)信道。在隨后的信道請(qǐng)求中，該遠(yuǎn)程控制卡會(huì)返回一個(gè)“Node Busy”的錯(cuò)誤信號(hào)：

　　在Activation階段發(fā)出Temporary-Session-ID和Session-ID后，Byte-1(XX)的值會(huì)發(fā)生增長。遠(yuǎn)程控制卡會(huì)把0×00當(dāng)做特殊的值進(jìn)行跳過（值范圍為0×01~0xFF），因此Session-ID的范圍為(2^8)-1：

　　利用方法：任意命令注入

　　黑客可以在建立的session里注入任意命令，在他擁有USER賬戶權(quán)限時(shí)，可以通過現(xiàn)有的Temporary-Session-ID和Session-ID值預(yù)測下一次的值，其步奏如下：

　　1.在擁有賬戶憑據(jù)的情況下，黑客可以發(fā)送“Get Session Challenge”請(qǐng)求，去獲得當(dāng)前的Temporary-Session-ID。

　　2.使用下一個(gè)Session-ID攜帶IPMIv1.5命令，可以預(yù)測到其值為當(dāng)前Temporary-Session-ID加上3。

　　3.重放該請(qǐng)求，當(dāng)通信再次建立時(shí)，請(qǐng)求會(huì)注入到下一個(gè)session里。

　　下面是該攻擊過程的兩個(gè)截圖：

　　在上面的例子中，第一個(gè)“User List”命令列出遠(yuǎn)程控制卡里的6個(gè)賬戶，但只有“root”用戶擁有ADMINISTRATOR權(quán)限。接下來，卻出現(xiàn)了一個(gè)由合法ADMINISTRATOR用戶發(fā)送的“Chassis Status”命令。這是因?yàn)楹诳陀妙A(yù)測的Session-ID發(fā)送了“Set User Access”命令，然后獲得了ADMINISTRATOR權(quán)限。最后的“User List”命令顯示“Set User Access”確實(shí)注入成功，“user”賬戶已經(jīng)由USER權(quán)限提升到ADMINISTRATOR權(quán)限：

　　上面的網(wǎng)絡(luò)數(shù)據(jù)包截圖展示了“Chassis Status”命令的執(zhí)行結(jié)果。選中的第12幀為“Set User Access”的應(yīng)答包，但其是通過另一個(gè)無關(guān)的IP進(jìn)行注入的。這表明了雖然遠(yuǎn)程控制卡有著IP與Session-ID對(duì)應(yīng)映射，它只會(huì)檢查這個(gè)地址映射表去應(yīng)答來源，但卻沒有用來限制來自外來源的請(qǐng)求。

　　在這次過濾中，任意命令注入發(fā)生在第10幀和14幀之間。如果遠(yuǎn)程控制卡是在第9幀（提前）收到了注入命令，黑客會(huì)收到“Insufficient Privilege Level”（權(quán)限不足）的錯(cuò)誤提示。

　　這種攻擊的缺點(diǎn)是會(huì)產(chǎn)生一定的信道噪聲，因?yàn)楹诳蜎]有辦法知曉下次session什么時(shí)候會(huì)建立起來。

　　供應(yīng)商回應(yīng)

　　這個(gè)漏洞可能有兩個(gè)點(diǎn)需要修復(fù)。第一需要充分利用2^32的空間大小，保證選擇值的隨機(jī)性。第二則需要通過映射關(guān)系過濾請(qǐng)求的源，保證不會(huì)有外來源進(jìn)行干涉通信。然而，戴爾為了修復(fù)iDRAC v1.98，而在這個(gè)版本里擯棄了IPMI v1.5協(xié)議，但這并不符合兼容規(guī)范。然而，他們給出了以下理由：

　　IPMI 1.5已經(jīng)不再推薦使用，而且也沒有戴爾用戶請(qǐng)求我們使用它。

　　安全建議

　　據(jù)Dan Farmer于2014年6月發(fā)布的文章來看，大型掃描結(jié)果顯示109，726臺(tái)開著UDP 623端口的機(jī)器，還在使用IPMI v1.5，約占掃描總量的46.8%。若是根據(jù)戴爾在五月的賣出服務(wù)器占15%的市場份額來算，約有17，500臺(tái)服務(wù)器還在使用IPMI v1.5。然而戴爾指出沒有用戶提出請(qǐng)求讓他們實(shí)現(xiàn)向后兼容性，這意味著這17，500臺(tái)機(jī)子除非已經(jīng)全部更新到了IPMI v2.0，不然肯定是存在漏洞的。

　　為此，我們細(xì)細(xì)思量后，決定發(fā)布工具給大眾用來檢測服務(wù)器是否存在CVE-2014-8272漏洞，下載鏈接在這里。