中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何理解基于IPMI協議的DDoS反射攻擊分析

發布時間:2021-11-18 13:40:28 來源:億速云 閱讀:189 作者:柒染 欄目:網絡管理

這篇文章給大家介紹如何理解基于IPMI協議的DDoS反射攻擊分析,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

0x00 前言

IPMI(Intelligent Platform ManagementInterface)智能平臺管理接口,原本是一種Intel架構的企業系統的周邊設備所采用的一種工業標準。IPMI亦是一個開放的免費標準,用戶無需支付額外的費用即可使用此標準。

IPMI 能夠橫跨不同的操作系統、固件和硬件平臺,可以智能的監視、控制和自動回報大量服務器的運行狀況,以降低服務器系統成本。IPMI基于UDP協議進行傳輸,基于該協議建立的遠程管理控制服務,默認綁定在623端口。

0x01 攻擊分析

如何理解基于IPMI協議的DDoS反射攻擊分析    

這個攻擊過程持續了15分鐘,峰值超過2Gbps。攻擊來源IP共有54828個,攻擊來源端口都是623,使用協議IPMI,長度為72字節。對數據包的內容進行具體分析,判斷攻擊包幾乎都是IPMI協議的ping響應包。如圖所示:

如何理解基于IPMI協議的DDoS反射攻擊分析

最初懷疑是攻擊者偽造源IP實施的Flood攻擊,但驗證這54828個攻擊源IP的623端口,存活率超過98%,很明顯是一種反射攻擊。分析反射源的地址位置特征,全球分布如下圖示:

如何理解基于IPMI協議的DDoS反射攻擊分析    

美國占了接近40%,TOP30國家排名如下圖示:

如何理解基于IPMI協議的DDoS反射攻擊分析

0x02 關聯風險分析

本次攻擊采用的IPMIping攻擊包,與常規的ping 類似,不同之處ping使用了ICMP協議傳輸。

IPMI 協議廣泛用在Supermicro, Dell, HP, IBM的板載卡管理系統中。而這些存在著默認密碼,甚至有些存在長久的Web漏洞可以直接獲取密碼。認證后可以操作除了ping之外更多的操作,如監控等數據。此時返回數據字節數會遠大于請求數據。

設備分布:

全網分析共有133000個IPMI設備暴露在公網中。其中HP iLO, Supermicro IPMI, Dell iDARC三種設備占據75%以上的份額。因此,之前暴露出的安全問題也基本圍繞著這幾款設備。

如何理解基于IPMI協議的DDoS反射攻擊分析    

IPMI設備攻擊面:

1、Web管理接口

通常是HTTP的80或者443端口,出現過的漏洞:存在默認賬號密碼登錄,Webserver接口溢出等漏洞。詳細如下:

CVE-2013-4782 Supermicro任意IPMI命令執行

CVE-2013-3623 Supermicro cgi/close_window.cgi緩沖區溢出任意命令執行

CVE-2013-3622 Supermicro logout.cgi緩沖區溢出任意命令執行

CVE-2013-3609 Supermicro 權限繞過漏洞

CVE-2013-3607 Supermicro 任意代碼執行

CVE-2013-4037 IBM IPMI明文憑證泄漏

CVE-2014-0860 IBM BladeCenter高級管理模塊IPMI明文憑證泄漏

2、KVM console接口

通常為TCP 5900端口,出現過的漏洞:弱口令。

3、IPMI通訊接口

通常為UDP的623端口,出現過的漏洞:存在默認賬號密碼登錄,協議漏洞。詳細如下:

CVE-2014-8272 IPMI 1.5會話ID隨機性不足

CVE-2013-4786 IPMI2.0離線密碼爆破漏洞

CVE-2013-4037 IPMI密碼哈希值泄漏漏洞

CVE-2013-4031 IPMI用戶默認賬號登錄漏洞

CVE-2013-4782 Supermicro 身份驗證繞過導致任意代碼執行

CVE-2013-4783 Dell iDRAC6 身份驗證繞過導致任意代碼執行

CVE-2013-4784 Hp iLO 任意密碼繞過

4、SMASH接口

通常為TCP的22端口,出現過的漏洞:弱口令。

漏洞統計:

對危害性評級為高危的漏洞進行統計。共有24500個IP存在高危漏洞。總體占比18.5%。

1、IPMI 2.0 Cipher Zero Authentication Bypass。(涉及的漏洞編號CVE-2013-4782,CVE-2013-4783,CVE-2013-4784)遠程攻擊者可通過使用密碼套件0(又名cipher zero)和任意的密碼,利用該漏洞繞過身份認證,執行任意IPMI命令。IPMI 2.0使用cipher zero加密組件時,攻擊者只需要知道一個有效的用戶名就可以接管IPMI的功能。而大部分設備都存在默認賬號和密碼。

 設備   默認賬號   默認密碼  
DELL  root  calvin  
HP  Administrator  隨機密碼  
IBM  USERID  PASSW0RD  
SUPERMICRO  ADMIN  ADMIN  
ORACLE  root  changeme  
ASUS  admin  admin  
FUJITSU  admin  admin  
Huawei  root  Huawei12#$  

全網掃描結果:

17716個IP存在Cipher Zero Authentication Bypass漏洞。

2、IPMI V1.5會話ID隨機性不足

IPMI v1.5 使用Session-ID 進行認證,Session-ID的取值范圍(2^32)。部分遠程控制卡在實現過程中,采用的Session-ID是0x0200XXYY格式。其中XX可以直接預測,黑客偽造YY的數值,可以在低權限或者未認證的情況下,啟用新session執行任意命令。

全網掃描結果:

2918 個IP存在會話ID隨機性不足的漏洞。

3、開啟匿名帳戶登錄或明文密碼泄露

SuperMicro老版本在49152放置了明文密碼文件。攻擊者可以通過請求服務器49152端口的/PSBlock文件,就可得到80端口web管理界面的密碼,密碼放在PSBlock文件中。 

全網掃描結果:

390個IP存在明文密碼泄露,3776個IP允許匿名帳戶登錄。

漏洞地理分布:

如何理解基于IPMI協議的DDoS反射攻擊分析    

如何理解基于IPMI協議的DDoS反射攻擊分析    

板載卡管理系統往往不注重Web安全,更新也需要升級固件,很多公司往往忽略這些工作,導致很多有漏洞的平臺裸露在公網中,非常容易成為黑客攻擊的目標。 

通過掃描此次DDoS攻擊源進行分析,有近一半的IP屬于Supermicro IPMI管理平臺。而Supermicro IPMI管理平臺也曾被爆出很多漏洞,其中“明文格式存儲密碼文件PSBlock漏洞”影響較大,存在這類漏洞的機器被黑客劫持后,常用來當作DDoS攻擊的“肉雞”。根據安全人員的分析,在2014年8月就有攻擊者劫持了多達100,000的此類“肉雞”發起了針對ComputerworldUK.com的混合DDoS攻擊,攻擊峰值達300Gbps,持續一天以上。

0x03 反射攻擊趨勢分析

本次攻擊使用的IPMIping包

IPMIping  傳輸如下:

如何理解基于IPMI協議的DDoS反射攻擊分析

Req請求 65字節,返回72字節。放大比例1.1倍。

但從放大比例上看,IPMI的ping包并不是一個好的“反射”放大協議。

但IPMIping 由于攻擊包小,來源廣泛,可能會穿透部分傳統設備。

從最近的幾次反射攻擊事件看,一些使用量中等規模的UDP服務逐漸黑客利用起來,包括之前的Memcached反射,放大倍數利率達到50000倍,非常驚人。即使互聯網上公共開放的數量只有10幾萬,也能產生大于1T的流量攻擊。

無認證邏輯,或者弱認證邏輯(包含默認密碼),不常見的UDP服務逐漸成為黑客發動攻擊的首選。

關于如何理解基于IPMI協議的DDoS反射攻擊分析就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

河曲县| 衡南县| 大庆市| 乐至县| 邮箱| 水城县| 邵东县| 枣庄市| 汽车| 武定县| 陵川县| 西安市| 资溪县| 咸阳市| 通化县| 琼海市| 旅游| 嘉定区| 宁德市| 东安县| 洛川县| 喀什市| 辽源市| 苏尼特左旗| 淮阳县| 上栗县| 巴彦淖尔市| 通化县| 印江| 山东| 隆子县| 兴宁市| 太原市| 鲁甸县| 崇阳县| 浦东新区| 高雄县| 浦县| 阿城市| 迭部县| 临清市|