基於IPMI協議的DDoS反射攻擊分析
0x00前言
百度智雲盾平台在近期,防禦了一次峰值2Gbps反射類型的DDOS攻擊,通過安全分析,認定這是一次新型的反射DDoS攻擊,該攻擊使用了IPMI協議進行攻擊,在國內尚未查到相關的案例。
IPMI(Intelligent PlatformManagement Interface)智能平台管理介面,原本是一種Intel架構的企業系統的周邊設備所採用的一種工業標準。IPMI亦是一個開放的免費標準,用戶無需支付額外的費用即可使用此標準。
IPMI能夠橫跨不同的操作系統、固件和硬體平台,可以智能的監視、控制和自動回報大量伺服器的運行狀況,以降低伺服器系統成本。IPMI基於UDP協議進行傳輸,基於該協議建立的遠程管理控制服務,默認綁定在623埠。
0x01攻擊分析
這個攻擊過程持續了15分鐘,峰值超過2Gbps。攻擊來源IP共有54828個,攻擊來源埠都是623,使用協議IPMI,長度為72位元組。對數據包的內容進行具體分析,判斷攻擊包幾乎都是IPMI協議的ping響應包。如圖所示:
最初懷疑是攻擊者偽造源IP實施的Flood攻擊,但驗證這54828個攻擊源IP的623埠,存活率超過98%,很明顯是一種反射攻擊。分析反射源的地址位置特徵,全球分布如下圖示:
美國佔了接近40%,TOP30國家排名如下圖示:
0x02關聯風險分析
本次攻擊採用的IPMIping攻擊包,與常規的ping類似,不同之處ping使用了ICMP協議傳輸。
IPMI協議廣泛用在Supermicro,Dell, HP, IBM的板載卡管理系統中。而這些存在著默認密碼,甚至有些存在長久的Web漏洞可以直接獲取密碼。認證後可以操作除了ping之外更多的操作,如監控等數據。此時返回數據位元組數會遠大於請求數據。
設備分布:
全網分析共有133000個IPMI設備暴露在公網中。其中HP iLO, Supermicro IPMI, Dell iDARC三種設備佔據75%以上的份額。因此,之前暴露出的安全問題也基本圍繞著這幾款設備。
IPMI設備攻擊面:
1、Web管理介面
通常是HTTP的80或者443埠,出現過的漏洞:存在默認賬號密碼登錄,Webserver介面溢出等漏洞。詳細如下:
CVE-2013-4782 Supermicro任意IPMI命令執行
CVE-2013-3623 Supermicrocgi/close_window.cgi緩衝區溢出任意命令執行
CVE-2013-3622 Supermicro logout.cgi緩衝區溢出任意命令執行
CVE-2013-3609 Supermicro許可權繞過漏洞
CVE-2013-3607 Supermicro任意代碼執行
CVE-2013-4037 IBM IPMI明文憑證泄漏
CVE-2014-0860 IBM BladeCenter高級管理模塊IPMI明文憑證泄漏
2、KVM console介面
通常為TCP 5900埠,出現過的漏洞:弱口令。
3、IPMI通訊介面
通常為UDP的623埠,出現過的漏洞:存在默認賬號密碼登錄,協議漏洞。詳細如下:
CVE-2014-8272 IPMI 1.5會話ID隨機性不足
CVE-2013-4786 IPMI2.0離線密碼爆破漏洞
CVE-2013-4037 IPMI密碼哈希值泄漏漏洞
CVE-2013-4031 IPMI用戶默認賬號登錄漏洞
CVE-2013-4782 Supermicro身份驗證繞過導致任意代碼執行
CVE-2013-4783 Dell iDRAC6身份驗證繞過導致任意代碼執行
CVE-2013-4784 Hp iLO任意密碼繞過
4、SMASH介面
通常為TCP的22埠,出現過的漏洞:弱口令。
漏洞統計:
對危害性評級為高危的漏洞進行統計。共有24500個IP存在高危漏洞。總體佔比18.5%。
1、IPMI 2.0 Cipher ZeroAuthentication Bypass。(涉及的漏洞編號CVE-2013-4782,CVE-2013-4783,CVE-2013-4784)遠程攻擊者可通過使用密碼套件(又名cipher zero)和任意的密碼,利用該漏洞繞過身份認證,執行任意IPMI命令。IPMI 2.0使用cipher zero加密組件時,攻擊者只需要知道一個有效的用戶名就可以接管IPMI的功能。而大部分設備都存在默認賬號和密碼。
全網掃描結果:
17716個IP存在Cipher ZeroAuthentication Bypass漏洞。
2、IPMI V1.5會話ID隨機性不足
IPMI v1.5使用Session-ID進行認證,Session-ID的取值範圍(2^32)。部分遠程控制卡在實現過程中,採用的Session-ID是0x0200XXYY格式。其中XX可以直接預測,黑客偽造YY的數值,可以在低許可權或者未認證的情況下,啟用新session執行任意命令。
全網掃描結果:
2918個IP存在會話ID隨機性不足的漏洞。
3、開啟匿名帳戶登錄或明文密碼泄露
SuperMicro老版本在49152放置了明文密碼文件。攻擊者可以通過請求伺服器49152埠的/PSBlock文件,就可得到80埠web管理界面的密碼,密碼放在PSBlock文件中。
全網掃描結果:
390個IP存在明文密碼泄露,3776個IP允許匿名帳戶登錄。
漏洞地理分布:
板載卡管理系統往往不注重Web安全,更新也需要升級固件,很多公司往往忽略這些工作,導致很多有漏洞的平台裸露在公網中,非常容易成為黑客攻擊的目標。
通過掃描此次DDoS攻擊源進行分析,有近一半的IP屬於Supermicro IPMI管理平台。而Supermicro IPMI管理平台也曾被爆出很多漏洞,其中「明文格式存儲密碼文件PSBlock漏洞」影響較大,存在這類漏洞的機器被黑客劫持後,常用來當作DDoS攻擊的「肉雞」。根據安全人員的分析,在2014年8月就有攻擊者劫持了多達100,000的此類「肉雞」發起了針對ComputerworldUK.com的混合DDoS攻擊,攻擊峰值達300Gbps,持續一天以上。
0x03反射攻擊趨勢分析
本次攻擊使用的IPMIping包
IPMIping傳輸如下:
Req請求65位元組,返回72位元組。放大比例1.1倍。
但從放大比例上看,IPMI的ping包並不是一個好的「反射」放大協議。
但IPMIping由於攻擊包小,來源廣泛,可能會穿透部分傳統設備。
從最近的幾次反射攻擊事件看,一些使用量中等規模的UDP服務逐漸黑客利用起來,包括之前的Memcached反射,放大倍數利率達到50000倍,非常驚人。即使互聯網上公共開放的數量只有10幾萬,也能產生大於1T的流量攻擊。
無認證邏輯,或者弱認證邏輯(包含默認密碼),不常見的UDP服務逐漸成為黑客發動攻擊的首選。
0x04關於團隊
智雲盾基於百度安全成熟的防禦技術,通過靈活的合作模式,旨在為合作夥伴的IDC環境內建設和提供安全基礎設施,為其本地快速檢測和防禦DDoS攻擊提供解決方案,同時還能為其客戶提供自動化且無限擴展的DDoS雲防服務。此外智雲盾平台集成包括資產弱點評估、黑客攻擊檢測、實時安全防禦和威脅情報等一系列百度安全能力,在提高IDC安全能力的同時,為最終客戶提供安全增值服務。了解更多請訪問:https://dun.baidu.com
TAG:百度安全實驗室 |