INS-ecommerce

Server Security und IBM-Server (Teil 2)

Heute mal wieder eine kleine Geschichte aus den Niederungen der Server-Security.

Vor ein paar Tagen hatte ich ja schon über das meiner Meinung nach wenig sinnvolle Konzept bei einigen IBM-Servern geschrieben, den Netzwerkanschluss für das Remote-Servermanagement und den Haupt Netzwerkanschluss auf den gleiche Ethernet-Anschluss zu legen, und dabei auch noch für alle Server die gleichen Standardpasswörter zu vergeben.

Heute gibt es dazu eine Fortsetzung. Denn es kommt noch schlimmer.

IBM bietet für die Server auch eine RSA-Karte an. RSA steht hierbei für "Remote Supervisor Adapter". Diese Karte enthält einen eigenen kleinen autonomen Webserver, mit dem auf die Systemhardware zugegriffen werden kann. Und diese Karte enthält auch einen eigenen Ethernet-Netzwerkanschluss. Damit kann man diese Karte auf ein getrenntes Netzwerk hängen, und so das geforderte "Out-of-Band" Management durchführen. So weit, so gut.

Doch was passiert dann mit der in den Server bereits fest eingebauten Remote-Managementkarte?

Man könnte erwarten, dass diese automatisch deaktiviert würde. Das passiert aber nicht.

Also könnte man erwarten, dass man sie manuell deaktivieren kann. Auch das nicht. Im BIOS gibt es keine Einstellung die eingebaute Managementkarte zu deaktivieren.

Also hat man in einem Server zwei Managementmodule, auf die man unabhängig voneinander zugreifen kann.

Aber es kommt noch besser: Sobald man die RSA-Karte in den Server steckt, kann das Passwort für das eingebaute Managementmodul im BIOS nicht mehr geändert werden.

Wenn man also einen IBM-Server mit RSA-Karte erwirbt/aufrüstet, ist dessen "eingebautes" Servermanagement mit hoher Wahrscheinlichkeit unter dem Standard-Passwort weiterhin von Aussen erreichbar, selbst wenn der Administrator glaubt, dass Zugangspasswort geändert zu haben (er hat dann aber nur das RSA-Passwort geändert).

Das halte ich für ein böses Sicherheitsloch und ich frage mich: War da jemand beim Systemdesign volltrunken, oder wurden da einfach nicht zusammenpassende Komponenten kombiniert? Und wann werden wir die ersten öffentlichen Exploits (jemand hat die Lücke ausgenutzt) dazu sehen?


P.S. Wenn jemand Interesse hat, kann ich ihm die Servermodelle nennen, mit denen es getestet wurde, und auf die sich alle obigen Aussagen beziehen.


Geschrieben von af in IT Security am: Mittwoch, 27. Juni 2007
Permalink

Tags: , , , , , ,

Diesen Beitrag bei folgenden Diensten bookmarken:
del.icio.us - Digg it - Mister Wong - Technorati - Ruhr.com Suchmaschine

Kommentare

Nächster Artikel: Die schlecht angesehensten Jobs: Microsoft Security Grunt

Vorheriger Artikel: Mit BPEL4People wird SOA menschlich.