基於IPMI協議的DDoS反射攻擊分析

0x00前言

百度智雲盾平台在近期，防禦了一次峰值2Gbps反射類型的DDOS攻擊，通過安全分析，認定這是一次新型的反射DDoS攻擊，該攻擊使用了IPMI協議進行攻擊，在國內尚未查到相關的案例。

IPMI（Intelligent PlatformManagement Interface）智能平台管理介面，原本是一種Intel架構的企業系統的周邊設備所採用的一種工業標準。IPMI亦是一個開放的免費標準，用戶無需支付額外的費用即可使用此標準。

IPMI能夠橫跨不同的操作系統、固件和硬體平台，可以智能的監視、控制和自動回報大量伺服器的運行狀況，以降低伺服器系統成本。IPMI基於UDP協議進行傳輸，基於該協議建立的遠程管理控制服務，默認綁定在623埠。

0x01攻擊分析

這個攻擊過程持續了15分鐘，峰值超過2Gbps。攻擊來源IP共有54828個，攻擊來源埠都是623，使用協議IPMI，長度為72位元組。對數據包的內容進行具體分析，判斷攻擊包幾乎都是IPMI協議的ping響應包。如圖所示：

最初懷疑是攻擊者偽造源IP實施的Flood攻擊，但驗證這54828個攻擊源IP的623埠，存活率超過98%，很明顯是一種反射攻擊。分析反射源的地址位置特徵，全球分布如下圖示：

美國佔了接近40%，TOP30國家排名如下圖示：

0x02關聯風險分析

本次攻擊採用的IPMIping攻擊包，與常規的ping類似，不同之處ping使用了ICMP協議傳輸。

IPMI協議廣泛用在Supermicro,Dell, HP, IBM的板載卡管理系統中。而這些存在著默認密碼，甚至有些存在長久的Web漏洞可以直接獲取密碼。認證後可以操作除了ping之外更多的操作，如監控等數據。此時返回數據位元組數會遠大於請求數據。

設備分布：

全網分析共有133000個IPMI設備暴露在公網中。其中HP iLO, Supermicro IPMI, Dell iDARC三種設備佔據75%以上的份額。因此，之前暴露出的安全問題也基本圍繞著這幾款設備。

IPMI設備攻擊面：

1、Web管理介面

通常是HTTP的80或者443埠，出現過的漏洞：存在默認賬號密碼登錄，Webserver介面溢出等漏洞。詳細如下：

CVE-2013-4782 Supermicro任意IPMI命令執行

CVE-2013-3623 Supermicrocgi/close_window.cgi緩衝區溢出任意命令執行

CVE-2013-3622 Supermicro logout.cgi緩衝區溢出任意命令執行

CVE-2013-3609 Supermicro許可權繞過漏洞

CVE-2013-3607 Supermicro任意代碼執行

CVE-2013-4037 IBM IPMI明文憑證泄漏

CVE-2014-0860 IBM BladeCenter高級管理模塊IPMI明文憑證泄漏

2、KVM console介面

通常為TCP 5900埠，出現過的漏洞：弱口令。

3、IPMI通訊介面

通常為UDP的623埠，出現過的漏洞：存在默認賬號密碼登錄，協議漏洞。詳細如下：

CVE-2014-8272 IPMI 1.5會話ID隨機性不足

CVE-2013-4786 IPMI2.0離線密碼爆破漏洞

CVE-2013-4037 IPMI密碼哈希值泄漏漏洞

CVE-2013-4031 IPMI用戶默認賬號登錄漏洞

CVE-2013-4782 Supermicro身份驗證繞過導致任意代碼執行

CVE-2013-4783 Dell iDRAC6身份驗證繞過導致任意代碼執行

CVE-2013-4784 Hp iLO任意密碼繞過

4、SMASH介面

通常為TCP的22埠，出現過的漏洞：弱口令。

漏洞統計：

對危害性評級為高危的漏洞進行統計。共有24500個IP存在高危漏洞。總體佔比18.5%。

1、IPMI 2.0 Cipher ZeroAuthentication Bypass。（涉及的漏洞編號CVE-2013-4782，CVE-2013-4783，CVE-2013-4784）遠程攻擊者可通過使用密碼套件（又名cipher zero）和任意的密碼，利用該漏洞繞過身份認證，執行任意IPMI命令。IPMI 2.0使用cipher zero加密組件時，攻擊者只需要知道一個有效的用戶名就可以接管IPMI的功能。而大部分設備都存在默認賬號和密碼。

全網掃描結果：

17716個IP存在Cipher ZeroAuthentication Bypass漏洞。

2、IPMI V1.5會話ID隨機性不足

IPMI v1.5使用Session-ID進行認證，Session-ID的取值範圍（2^32）。部分遠程控制卡在實現過程中，採用的Session-ID是0x0200XXYY格式。其中XX可以直接預測，黑客偽造YY的數值，可以在低許可權或者未認證的情況下，啟用新session執行任意命令。

全網掃描結果：

2918個IP存在會話ID隨機性不足的漏洞。

3、開啟匿名帳戶登錄或明文密碼泄露

SuperMicro老版本在49152放置了明文密碼文件。攻擊者可以通過請求伺服器49152埠的/PSBlock文件，就可得到80埠web管理界面的密碼，密碼放在PSBlock文件中。

全網掃描結果：

390個IP存在明文密碼泄露，3776個IP允許匿名帳戶登錄。

漏洞地理分布：

板載卡管理系統往往不注重Web安全，更新也需要升級固件，很多公司往往忽略這些工作，導致很多有漏洞的平台裸露在公網中，非常容易成為黑客攻擊的目標。

通過掃描此次DDoS攻擊源進行分析，有近一半的IP屬於Supermicro IPMI管理平台。而Supermicro IPMI管理平台也曾被爆出很多漏洞，其中「明文格式存儲密碼文件PSBlock漏洞」影響較大，存在這類漏洞的機器被黑客劫持後，常用來當作DDoS攻擊的「肉雞」。根據安全人員的分析，在2014年8月就有攻擊者劫持了多達100,000的此類「肉雞」發起了針對ComputerworldUK.com的混合DDoS攻擊，攻擊峰值達300Gbps，持續一天以上。

0x03反射攻擊趨勢分析

本次攻擊使用的IPMIping包

IPMIping傳輸如下：

Req請求65位元組，返回72位元組。放大比例1.1倍。

但從放大比例上看，IPMI的ping包並不是一個好的「反射」放大協議。

但IPMIping由於攻擊包小，來源廣泛，可能會穿透部分傳統設備。

從最近的幾次反射攻擊事件看，一些使用量中等規模的UDP服務逐漸黑客利用起來，包括之前的Memcached反射，放大倍數利率達到50000倍，非常驚人。即使互聯網上公共開放的數量只有10幾萬，也能產生大於1T的流量攻擊。

無認證邏輯，或者弱認證邏輯（包含默認密碼），不常見的UDP服務逐漸成為黑客發動攻擊的首選。

0x04關於團隊

智雲盾基於百度安全成熟的防禦技術，通過靈活的合作模式，旨在為合作夥伴的IDC環境內建設和提供安全基礎設施，為其本地快速檢測和防禦DDoS攻擊提供解決方案，同時還能為其客戶提供自動化且無限擴展的DDoS雲防服務。此外智雲盾平台集成包括資產弱點評估、黑客攻擊檢測、實時安全防禦和威脅情報等一系列百度安全能力，在提高IDC安全能力的同時，為最終客戶提供安全增值服務。了解更多請訪問：https://dun.baidu.com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！