HP iLO 4 にAを29文字打ち込むだけで認証をバイパスできる脆弱性があった件
記事を読むのが正確で早いのだけれど
curl -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
と打ち込むだけで HP iLO に管理者権限でログインできるという記事が掲載されていた。
合わせてローカルのユーザ名とパスワードを平文で取得する Exploit も紹介されている。
→ HP iLO とは
いずれも影響を受けるのは ファームウェアが Version 2.53 以下の HP iLO 4 サーバとのこと。 去年の夏(2017-08-24)に version 2.54 のアップデートが提供されているため、 適切にアップデートがされている場合は問題なさそう。
時系列
- 2017-08-05 CVE-2017-12542 が登録される
- 2017-08-24 HPが修正版(2.54)をリリース
- 2018-02-05 ExproitDB に PoC が登録される
- 2018-02-15 CVE-2017-12542 が公開される
- 2018-03-29 JVNDB-2017-012642 が登録・公開される
概要
当時のHP のリリースノートを参照すると、RCEの脆弱性だから可能な限り早急にアップデートをしてくれと明記されていた。
ExproitDB には 2018-02-05 時点で新規にAdmin権限ユーザを追加する PoC が登録されている。冒頭部分に A*29 の記述が確認できる。
当該脆弱性については CVE-2017-12542 として公開されている。
公開日は 2018-02-15 となっている。
また、JVNDB には JVNDB-2017-012642 として登録されている。
こちらの登録日は 2018-03-29 となっていた。
なお、JVNDB では RCE であるとは明記されていなかった。概要としては「HPE Integrated Lights-out 4 (iLO 4) には、不特定の脆弱性が存在します。」想定される影響は「情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。」と記載されている。
本日(2018/07/10)時点で Shodan から HP-iLO-Server で検索すると 4,836 件となった。
ファームウェアのアップデート方法
ファームウェアのアップデート方法は以下で紹介されている。
関連記事
最近では HP iLO を狙った攻撃として BleepingComputer が 2018-04-25 にランサムウェアによる被害事例があったとして記事にしている。
そして今回の内容についても 2018-07-06 時点で既に取り上げていた様子。
CVE-2017-12542簡単な解析と再現として 2018-04-14 時点で記事になっていた。
https://blog.csdn.net/qq_27446553/article/details/79940641 (2023/01/10:削除されていました。)
こちらの shodan の結果は 8,800 件となっている。
蔓延するLokiBotの殆どはオリジナルの修正版と発覚。
d00rt さんのレポートは後で読む。
活動記録的なアプリで軍事情報漏えい的な
前にも同じような話を見たような。
更新履歴
- 2018-07-10 新規作成
- 2023/01/10 一部記載の修正。削除済みのサイトへのリンクに注記を追記。
