Dell iDRAC mgmt - attack vector ze systému přes iDRAC do sítě?

_Jenda

  • *****
  • 1 601
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Dell iDRAC mgmt - attack vector ze systému přes iDRAC do sítě?
« Odpověď #15 kdy: 22. 11. 2021, 20:25:58 »
Samozřejmě může existovat vektor útoku na samotný iDRAC, na jeho FW, ale nemyslím si, že by takový existoval přímo z OS.
Ale tazateli přesně o něj jde. A nepřijde mi to nijak nepředstavitelné: iDRAC emuluje spoustu různých zařízení - grafickou kartu, USB klávesnici, myš, optickou mechaniku… Stačí někde v tomhle udělat chybu a už se vezeš.


Re:Dell iDRAC mgmt - attack vector ze systému přes iDRAC do sítě?
« Odpověď #16 kdy: 23. 11. 2021, 11:28:19 »
Veškerý odchozí provoz, zdrojovaný z IP iDRACu, je zakázán, povolen jsou pouze směry SMTP server (notifikace) a interní mirror updatů pro daný typ/model serveru. NTP, DNS a další podobné služby jsou pro management interface zbytné, a jsou tedy jednak zakázány, a druhak blokovány.
Dále autentizace k iDRAC umožňuje používat adresářové nebo LDAP služby, takže můžete mít přístup do iDRAC svázaný s vaším AD/LDAP atd.

S timhle nesouhlasim. NTP/DNS atd. jsou zbytne pouze v pripade, ze nekoho nezajimaji spravne casove znacky v logu iDracu, nebo pokud si clovek vse nastavi IP adresama. A IP adresy jsou zvlast v rozsahlejsich sitich u vetsiny HA sluzeb omezujici, takze bez DNS se clovek stejne neobejde.