Networkforensic

Threat hunting

HPE Integrated Lights-Out 4 (iLO 4)

 21 Oktober 2021  - Blog Post # 804

iLO    
iLO er velkendt. Det er bygget til remote management i server systemer fra HP. Så man kan eks starte en sever der er slukket. Det er basalt set en ekstra server i serveren, der er forbundet via netværk. Det giver mange muligheder i sig selv. Eks en remote shell direkte til hardwaren på serveren, eller muligheder for at mounte forskellige medietyper som ISO filer, DVD drev, loade forskellige image typer osv. Alt i alt et MEGET kraftfuldt værktøj.

Forskellige producenter af hardware har typisk deres egen løsninger og der er mange forskellige af dem. Jeg har selv her tidligere omtalt eks vPRO. Det er meget brugbare tools, såfremt man håndtere dem rigtigt.

Management netværk
Det er ikke uden grund at producenterne typisk anbefaler at remote management af hardware typisk kun er anbefalet fra et oprettet netværk UDEN internet forbindelser. Man skal derfor ikke forbinde sit remote management netværk med resten af virksomheden heller ikke til jumphosts. Det vil typipsk kræve at man har en fysisk klient der er placeret et sted i virksomheden og fra denne kan man tilgå netværket der giver adgang til al hardwaren. (Ikke noget remote hen til management klienten. Ja det betyder man skal være fysisk tilstede for at foretage management af hardware i eks et serverrum.




Jeg har hørt mange undskyldinger for at man gerne vil kunne tilgå det fra internettet via jumphost. Men den går ikke... det skal være et lukket netværk der er sepperat oprettet med egne switches osv. Det er ikke nok med VLAN's på samme netværk der benytter samme switches som alt muligt andet. Det er NO GO.  Gør man det alligevel skal man nok overveje hvilken jobtitle man har, for der bør ikke stå noget med IT-Sikkerhed i den.

Scanning efter iLO
Man kan foretage scanninger efter iLO i sit eget netværk for at identificere ubeskyttet iLO adgange med eks nmap

Patchninger og sårbarheds scanninger
iLO skal scannes og patches ligesom alt andet udstyr. Men jeg ser desværre typisk at mange helt overset denne type adgange i deres egne netværk. Der findes typisk slet ikke nogen processer for håndteringer af disse eller noget ansvar der er tildelt. Det kører i mange tilfælde i sin helt egen uovervåget verden. Man skal heller ikke tror at at bare fordi man benytte forskellige cloud servises så er man beskyttet. Jeg har også set cloud producenter der kommer til at forbinde til forkerte netværk når patch kablerne sættes i switches. 

Ransomware og iLO
Det er bestemt ikke noget nyt med ransomware og krypteret diske på hele hardware systemer. Derfor bør nok være endnu mere efter det.

"Indicators"
Jeg har her frigivet lidt Indicators på at identificere iLO der kan være ubeskytte eller placeret forkert. De er lavet på en default opsat iLO 4. Jeg vil tro de også passer på andre versioner. (Siger samtidigt tak for lån af hardware jeg fik lov til at teste på)
 
DHCP server logs
ILOCZ1723015T\x00 - Søg efter hvor ILO indgår i hostnavnet. Typisk default navne for ILO.

Kibana
certificate_common_name: ILO*
uri.keyword:"/html/IRC.exe.manifest"

Agent Server respons: 303 See Other
Server: HPE-iLO-Server/

JA3S - Security Onion
HPE-iLO-Server/1.30 (Server) HTTPS
JA3S: 8863a99fb3623e273eec49e5e7037422

HASSH - Security Onion
SSH-2.0-mpSSH_0.2.1 (server)
HASSH:0df9d9433854fd68eb358a41df3335ae

Port scanninger (namp)
namp -p 22,80,443,17988,17990 -T4 -A -v <ip range>

IDS rules frigivet
De trigger uden falkse positiver. Dog har jeg ikke fremstillet noget til Virtual Media porten. Den lånte hardware var desværre uden licens. Det er krævet for at kunne benytte denne funktion. Dog afventer jeg en system med iLO 5 og hvor licenser er i orden. Mere herom til den tid.

Vær opmærksom at porte skal være sat rigtigt i forhold hvor du gerne vil identificere iLO.  I IDS reglen. NF - HPE-iLO - Remote Console activated - sid:5027803; er det især vigtigt. Her skal man benytte port nummeret som en del af IDS reglen. Ellers vi den sikkert sprøjte mange falske positiver ud. Her skal man bare omplacere porten i IDS reglen.

 NF IDS Rules
5 Latest Updates   

Danish CPR numbers

HPE-iLO 4

QUIC Test Rules

Remcos-RAT

SHODAN Scanning

Download