setodaNote

忘れる用のメモ書き

2018-07-09 記事まとめ

HP iLO 4 にAを29文字打ち込むだけで認証をバイパスできる脆弱性があった件

記事を読むのが正確で早いのだけれど

curl -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA"

と打ち込むだけで HP iLO に管理者権限でログインできるという記事が掲載されていた。
合わせてローカルのユーザ名とパスワードを平文で取得する Exploit も紹介されている。
→ HP iLO とは

いずれも影響を受けるのは ファームウェアが Version 2.53 以下の HP iLO 4 サーバとのこと。 去年の夏(2017-08-24)に version 2.54 のアップデートが提供されているため、 適切にアップデートがされている場合は問題なさそう。

時系列

  • 2017-08-05 CVE-2017-12542 が登録される
  • 2017-08-24 HPが修正版(2.54)をリリース
  • 2018-02-05 ExproitDB に PoC が登録される
  • 2018-02-15 CVE-2017-12542 が公開される
  • 2018-03-29 JVNDB-2017-012642 が登録・公開される

概要

当時のHP のリリースノートを参照すると、RCEの脆弱性だから可能な限り早急にアップデートをしてくれと明記されていた。 f:id:soji256:20180709233459p:plain

ExproitDB には 2018-02-05 時点で新規にAdmin権限ユーザを追加する PoC が登録されている。冒頭部分に A*29 の記述が確認できる。

当該脆弱性については CVE-2017-12542 として公開されている。
公開日は 2018-02-15 となっている。

また、JVNDB には JVNDB-2017-012642 として登録されている。
こちらの登録日は 2018-03-29 となっていた。

なお、JVNDB では RCE であるとは明記されていなかった。概要としては「HPE Integrated Lights-out 4 (iLO 4) には、不特定の脆弱性が存在します。」想定される影響は「情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。」と記載されている。

本日(2018/07/10)時点で Shodan から HP-iLO-Server で検索すると 4,836 件となった。 f:id:soji256:20180710004954p:plain

ファームウェアのアップデート方法

ファームウェアのアップデート方法は以下で紹介されている。 https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-c03802781

関連記事

最近では HP iLO を狙った攻撃として BleepingComputer が 2018-04-25 にランサムウェアによる被害事例があったとして記事にしている。 https://www.bleepingcomputer.com/news/security/ransomware-hits-hpe-ilo-remote-management-interfaces:embed/

そして今回の内容についても 2018-07-06 時点で既に取り上げていた様子。

CVE-2017-12542簡単な解析と再現として 2018-04-14 時点で記事になっていた。 こちらの shodan の結果は 8,800 件となっている。

蔓延するLokiBotの殆どはオリジナルの修正版と発覚。

d00rt さんのレポートは後で読む。

活動記録的なアプリで軍事情報漏えい的な

前にも同じような話を見たような。