Networkforensic
Threat hunting
HPE Integrated Lights-Out 4 (iLO 4)
21 Oktober 2021 - Blog Post # 804
iLO
iLO er velkendt. Det er bygget til remote management i server
systemer fra HP. Så man kan eks starte en sever der er slukket. Det
er basalt set en ekstra server i serveren, der er forbundet via
netværk. Det giver mange muligheder i sig selv. Eks en remote shell
direkte til hardwaren på serveren, eller muligheder for at mounte
forskellige medietyper som ISO filer, DVD drev, loade forskellige
image typer osv. Alt i alt et MEGET kraftfuldt værktøj.
Forskellige producenter af hardware har typisk deres egen løsninger
og der er mange forskellige af dem. Jeg har selv her tidligere
omtalt eks vPRO. Det er meget brugbare tools, såfremt man håndtere
dem rigtigt.
Management netværk
Det er ikke uden grund at producenterne typisk
anbefaler at remote management af hardware typisk kun er
anbefalet fra et oprettet netværk UDEN internet forbindelser. Man
skal derfor ikke forbinde sit remote management netværk med resten
af virksomheden heller ikke til jumphosts. Det vil typipsk kræve at
man har en fysisk klient der er placeret et sted i virksomheden og
fra denne kan man tilgå netværket der giver adgang til al hardwaren.
(Ikke noget remote hen til management klienten. Ja det betyder man
skal være fysisk tilstede for at foretage management af hardware i
eks et serverrum.
Jeg har hørt mange undskyldinger for at man gerne vil kunne tilgå
det fra internettet via jumphost. Men den går ikke... det skal være
et lukket netværk der er sepperat oprettet med egne switches osv.
Det er ikke nok med VLAN's på samme netværk der benytter samme
switches som alt muligt andet. Det er NO GO. Gør man det
alligevel skal man nok overveje hvilken jobtitle man har, for der
bør ikke stå noget med IT-Sikkerhed i den.
Scanning efter iLO
Man kan foretage scanninger efter iLO i sit eget netværk for at
identificere ubeskyttet iLO adgange med eks nmap
Patchninger og sårbarheds scanninger
iLO skal scannes og patches ligesom alt andet udstyr. Men jeg ser
desværre typisk at mange helt overset denne type adgange i deres
egne netværk. Der findes typisk slet ikke nogen processer for
håndteringer af disse eller noget ansvar der er tildelt. Det kører i
mange tilfælde i sin helt egen uovervåget verden. Man skal heller
ikke tror at at bare fordi man benytte forskellige cloud servises så
er man beskyttet. Jeg har også set cloud producenter der kommer til
at forbinde til forkerte netværk når patch kablerne sættes i
switches.
Ransomware og iLO
Det er bestemt
ikke noget nyt med ransomware og krypteret diske på hele
hardware systemer. Derfor bør nok være endnu mere efter det.
"Indicators"
Jeg har her frigivet lidt Indicators på at identificere iLO der kan
være ubeskytte eller placeret forkert. De er lavet på en default
opsat iLO 4. Jeg vil tro de også passer på andre versioner. (Siger
samtidigt tak for lån af hardware jeg fik lov til at teste på)
DHCP server logs
ILOCZ1723015T\x00 - Søg efter hvor ILO
indgår i hostnavnet. Typisk default navne for ILO.
Kibana
certificate_common_name: ILO*
uri.keyword:"/html/IRC.exe.manifest"
Agent Server respons: 303 See Other
Server: HPE-iLO-Server/
JA3S - Security Onion
HPE-iLO-Server/1.30 (Server) HTTPS
JA3S: 8863a99fb3623e273eec49e5e7037422
HASSH - Security Onion
SSH-2.0-mpSSH_0.2.1 (server)
HASSH:0df9d9433854fd68eb358a41df3335ae
Port scanninger (namp)
namp -p 22,80,443,17988,17990 -T4 -A -v <ip range>
Syslog Messages (Tilføjet: 27-10-2021)
Made for iLO 4 -
Firmware Version 2.78
Syslog.txt
IDS rules frigivet
De trigger uden falkse positiver. Dog har jeg ikke fremstillet noget
til Virtual Media porten. Den lånte hardware var desværre uden
licens. Det er krævet for at kunne benytte denne funktion. Dog
afventer jeg en system med iLO 5 og hvor licenser er i orden. Mere
herom til den tid.
Vær opmærksom at porte skal være sat rigtigt i forhold hvor du gerne
vil identificere iLO. I IDS reglen. NF - HPE-iLO - Remote
Console activated - sid:5027803; er det især vigtigt. Her skal man
benytte port nummeret som en del af IDS reglen. Ellers vi den
sikkert sprøjte mange falske positiver ud. Her skal man bare
omplacere porten i IDS reglen.
NF IDS Rules
5 Latest Updates
Internet Census Scanning
F-Secure Scanning
Censys Scanning
Danish CPR numbers
HPE-iLO 4
Download