如何理解基于IPMI協(xié)議的DDoS反射攻擊分析

這篇文章給大家介紹如何理解基于IPMI協(xié)議的DDoS反射攻擊分析，內(nèi)容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

0x00 前言

IPMI（Intelligent Platform ManagementInterface）智能平臺管理接口，原本是一種Intel架構(gòu)的企業(yè)系統(tǒng)的周邊設(shè)備所采用的一種工業(yè)標準。IPMI亦是一個開放的免費標準，用戶無需支付額外的費用即可使用此標準。

IPMI 能夠橫跨不同的操作系統(tǒng)、固件和硬件平臺，可以智能的監(jiān)視、控制和自動回報大量服務(wù)器的運行狀況，以降低服務(wù)器系統(tǒng)成本。IPMI基于UDP協(xié)議進行傳輸，基于該協(xié)議建立的遠程管理控制服務(wù)，默認綁定在623端口。

0x01 攻擊分析

這個攻擊過程持續(xù)了15分鐘，峰值超過2Gbps。攻擊來源IP共有54828個，攻擊來源端口都是623，使用協(xié)議IPMI，長度為72字節(jié)。對數(shù)據(jù)包的內(nèi)容進行具體分析，判斷攻擊包幾乎都是IPMI協(xié)議的ping響應(yīng)包。如圖所示：

最初懷疑是攻擊者偽造源IP實施的Flood攻擊，但驗證這54828個攻擊源IP的623端口，存活率超過98%，很明顯是一種反射攻擊。分析反射源的地址位置特征，全球分布如下圖示：

美國占了接近40%，TOP30國家排名如下圖示：

0x02 關(guān)聯(lián)風險分析

本次攻擊采用的IPMIping攻擊包，與常規(guī)的ping 類似，不同之處ping使用了ICMP協(xié)議傳輸。

IPMI 協(xié)議廣泛用在Supermicro, Dell, HP, IBM的板載卡管理系統(tǒng)中。而這些存在著默認密碼，甚至有些存在長久的Web漏洞可以直接獲取密碼。認證后可以操作除了ping之外更多的操作，如監(jiān)控等數(shù)據(jù)。此時返回數(shù)據(jù)字節(jié)數(shù)會遠大于請求數(shù)據(jù)。

設(shè)備分布：

全網(wǎng)分析共有133000個IPMI設(shè)備暴露在公網(wǎng)中。其中HP iLO, Supermicro IPMI, Dell iDARC三種設(shè)備占據(jù)75%以上的份額。因此，之前暴露出的安全問題也基本圍繞著這幾款設(shè)備。

IPMI設(shè)備攻擊面：

1、Web管理接口

通常是HTTP的80或者443端口，出現(xiàn)過的漏洞：存在默認賬號密碼登錄，Webserver接口溢出等漏洞。詳細如下：

CVE-2013-4782 Supermicro任意IPMI命令執(zhí)行

CVE-2013-3623 Supermicro cgi/close_window.cgi緩沖區(qū)溢出任意命令執(zhí)行

CVE-2013-3622 Supermicro logout.cgi緩沖區(qū)溢出任意命令執(zhí)行

CVE-2013-3609 Supermicro 權(quán)限繞過漏洞

CVE-2013-3607 Supermicro 任意代碼執(zhí)行

CVE-2013-4037 IBM IPMI明文憑證泄漏

CVE-2014-0860 IBM BladeCenter高級管理模塊IPMI明文憑證泄漏

2、KVM console接口

通常為TCP 5900端口，出現(xiàn)過的漏洞：弱口令。

3、IPMI通訊接口

通常為UDP的623端口，出現(xiàn)過的漏洞：存在默認賬號密碼登錄，協(xié)議漏洞。詳細如下：

CVE-2014-8272 IPMI 1.5會話ID隨機性不足

CVE-2013-4786 IPMI2.0離線密碼爆破漏洞

CVE-2013-4037 IPMI密碼哈希值泄漏漏洞

CVE-2013-4031 IPMI用戶默認賬號登錄漏洞

CVE-2013-4782 Supermicro 身份驗證繞過導致任意代碼執(zhí)行

CVE-2013-4783 Dell iDRAC6 身份驗證繞過導致任意代碼執(zhí)行

CVE-2013-4784 Hp iLO 任意密碼繞過

4、SMASH接口

通常為TCP的22端口，出現(xiàn)過的漏洞：弱口令。

漏洞統(tǒng)計：

對危害性評級為高危的漏洞進行統(tǒng)計。共有24500個IP存在高危漏洞?？傮w占比18.5%。

1、IPMI 2.0 Cipher Zero Authentication Bypass。（涉及的漏洞編號CVE-2013-4782，CVE-2013-4783，CVE-2013-4784）遠程攻擊者可通過使用密碼套件0（又名cipher zero）和任意的密碼，利用該漏洞繞過身份認證，執(zhí)行任意IPMI命令。IPMI 2.0使用cipher zero加密組件時，攻擊者只需要知道一個有效的用戶名就可以接管IPMI的功能。而大部分設(shè)備都存在默認賬號和密碼。

全網(wǎng)掃描結(jié)果：

17716個IP存在Cipher Zero Authentication Bypass漏洞。

2、IPMI V1.5會話ID隨機性不足

IPMI v1.5 使用Session-ID 進行認證，Session-ID的取值范圍（2^32）。部分遠程控制卡在實現(xiàn)過程中，采用的Session-ID是0x0200XXYY格式。其中XX可以直接預(yù)測，黑客偽造YY的數(shù)值，可以在低權(quán)限或者未認證的情況下，啟用新session執(zhí)行任意命令。

全網(wǎng)掃描結(jié)果：

2918 個IP存在會話ID隨機性不足的漏洞。

3、開啟匿名帳戶登錄或明文密碼泄露

SuperMicro老版本在49152放置了明文密碼文件。攻擊者可以通過請求服務(wù)器49152端口的/PSBlock文件，就可得到80端口web管理界面的密碼，密碼放在PSBlock文件中。 

全網(wǎng)掃描結(jié)果：

390個IP存在明文密碼泄露，3776個IP允許匿名帳戶登錄。

漏洞地理分布：

板載卡管理系統(tǒng)往往不注重Web安全，更新也需要升級固件，很多公司往往忽略這些工作，導致很多有漏洞的平臺裸露在公網(wǎng)中，非常容易成為黑客攻擊的目標。 

通過掃描此次DDoS攻擊源進行分析，有近一半的IP屬于Supermicro IPMI管理平臺。而Supermicro IPMI管理平臺也曾被爆出很多漏洞，其中“明文格式存儲密碼文件PSBlock漏洞”影響較大，存在這類漏洞的機器被黑客劫持后，常用來當作DDoS攻擊的“肉雞”。根據(jù)安全人員的分析，在2014年8月就有攻擊者劫持了多達100,000的此類“肉雞”發(fā)起了針對ComputerworldUK.com的混合DDoS攻擊，攻擊峰值達300Gbps，持續(xù)一天以上。

0x03 反射攻擊趨勢分析

本次攻擊使用的IPMIping包

IPMIping  傳輸如下：

Req請求 65字節(jié)，返回72字節(jié)。放大比例1.1倍。

但從放大比例上看，IPMI的ping包并不是一個好的“反射”放大協(xié)議。

但IPMIping 由于攻擊包小，來源廣泛，可能會穿透部分傳統(tǒng)設(shè)備。

從最近的幾次反射攻擊事件看，一些使用量中等規(guī)模的UDP服務(wù)逐漸黑客利用起來，包括之前的Memcached反射，放大倍數(shù)利率達到50000倍，非常驚人。即使互聯(lián)網(wǎng)上公共開放的數(shù)量只有10幾萬，也能產(chǎn)生大于1T的流量攻擊。

無認證邏輯，或者弱認證邏輯（包含默認密碼），不常見的UDP服務(wù)逐漸成為黑客發(fā)動攻擊的首選。

關(guān)于如何理解基于IPMI協(xié)議的DDoS反射攻擊分析就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。