ITBear旗下自媒体矩阵:

不开机也被黑全球上万服务器主机受影响

   时间:2014-07-04 13:03:35 来源:互联网编辑:星辉 发表评论无障碍通道

据国外媒体报道,全球有3万多台(根据服务器指纹推测)包括HP、Dell 、Sun、Fujitsu、IBM 等品牌在内的服务器存在名为IPMI密码泄露漏洞,黑客通过此漏洞可以获得主机磁盘的原始访问权限,引入后门程序、从硬盘复制数据、甚至对服务器主机造成更多的危害。

这个名为IPMI的密码泄露漏洞是智能型平台管理接口(Intelligent Platform Management Interface)的缩写,是管理基于 Intel结构的企业系统中所使用的外围设备采用的一种工业标准,该标准由英特尔、惠普、NEC、美国戴尔电脑和SuperMicro等公司制定。IPMI是一种开放标准的硬件管理接口规格,定义了嵌入式管理子系统进行通信的特定方法。IPMI 信息通过基板管理控制器 (BMC)(位于 IPMI 规格的硬件组件上)进行交流。

简单来说,有了IPMI这个东西,用户可以利用IPMI监视服务器的物理健康特征,如温度、电压、风扇工作状态、电源状态等,更重要的是可以装系统、开关机、查看操作服务器屏幕输出,就好比站在服务器面前。

而IPMI是可以通过Web管理的,通过80端口进入管理界面,这里需要账户密码认证,而本次漏洞正是泄漏了这个认证的密码信息。

举例:

攻击者可以通过请求服务器49152端口的/PSBlock文件,就可得到80端口web管理界面的密码,密码放在PSBlock文件中,例如:http://69.73.*.*:49152/PSBlock。得到密码后再访问http://69.73.*.*/,即可登录管理。

国内互联网一线安全公司知道创宇在获得这一消息后,利用自主研发的网络空间搜索引擎ZoomEye(钟馗之眼)探测了全球受影响的漏洞主机,证实截止2014年7月4日,全球有11701个主机受影响,全球分布如下图所示,详情请点击:http://www.zoomeye.org/lab/ipmi

危害:

攻击者不需要认证即可获取管理密码,从而登录IPMI管理页面,这个后台拥有操作服务器的最高权限——重装系统,其后果可想而知。

防范:

1.联系厂家升级系统;

2.关闭外网对49152端口的访问。

关于ZoomEye:

ZoomEye是国内互联网安全公司知道创宇打造的一个网络空间搜索引擎,该搜索引擎的后端数据包括两部分,网站组件指纹和主机设备指纹,目前已经探测了全球40亿IP和20亿域名。

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  网站留言  |  RSS订阅  |  违规举报  |  开放转载  |  滚动资讯  |  English Version
关闭
ITBear微信账号

微信扫一扫
加微信拉群
电动汽车群
科技数码群