CVE-2014-8272漏洞分析：戴尔（Dell）远程控制卡脆弱的Session-ID机制

　　我们最近发现了一个Dell集成远程控制卡（iDRAC）的漏洞，Dell集成远程控制卡是集成在服务器上的小型设备。

　　黑客利用这个编号为CVE-2014-8272的漏洞，可以在低权限或者未认证的情况下，启用新session执行任意命令。本文主要会讲述该漏洞的细节和利用手法，并给出我们的修复建议。最后，我们会提供检测CVE-2014-8272漏洞的工具供大家下载。

　　小科普

　　IPMI协议：整合服务器和其他系统（如存储设备、网络和通信设备）的硬件管理规范，同时支持多类操作系统。

　　BMC：通过与系统板上不同传感器进行通信，并在某些参数超出其预置阈值时发送警报和日志事件来监测发生严重事件的系统。

　　iDRAC：名为Dell集成远程控制卡，是附加在服务器上的一台小电脑，通过与服务器主板上的管理芯片BMC进行通信，监控与管理服务器的硬件状态信息。它拥有自己的系统和IP地址，与服务器上的OS无关。

　　信道噪声：即干扰信号，噪声干扰不去除，就会造成信号失真，严重的会使得通信无法正确和有效的进行。

　　背景：IPMI v1.5 Activation阶段的Session-ID

　　在阐述细节之前，我们先来了解下IPMI v1.5信道的Session-ID：

　　用户（远程终端）和BMC（管理系统）间的信道的通信过程可以分Discovery、Activation、Active三个阶段建立，细节如下：

　　在Discovery阶段，BMC应答的认证算法可以用于认证IPMI v1.5信道终端账户（如ADMINISTRATOR， USER， OPERATOR）。在Activation阶段，远程终端会提出账户凭据信息，由支持的认证算法的管理系统进行验证。一旦以上认证成功后，会产生一个Session-ID。此Session-ID是信道的诸项认证的标志，在此以后的每次通信都需要包含这个Session-ID，包括之后的Active阶段。BMC有了这个机制可以同时支持多个session通信，这是因为session除了用来区别信道外，Session-ID也用于鉴别信道的权限级别。比如，远程终端用USER权限的账户，就是无法执行成功“Set User Password”这个高权限命令的。

　　漏洞：Dell集成远程控制卡的Session-ID

　　Session-ID作为无符整型数，需要注意两点：

　　1.在不同信道之间需要有随机性，以保持区别

　　2.它应该有一个可能值的范围(2^32）

　　不幸的是，这并不是该远程控制卡（为了看起来明了，以下尽量这样称呼iDRAC）实际采用的规格，它采用的Session-ID是0x0200XXYY格式。Byte-3和Byte-2被设置为0×0200，也许其代表着远程控制卡支持的IPMI的版本号。这个不是重点，我们继续分析。Byte-0（YY）可能是代表激活的时间周期范围（0×00~0×03），这标志着至少在测试的这个版本，远程控制卡能同时支持四个信道，每个时间周期对应一个信道。在随后的信道请求中，该远程控制卡会返回一个“Node Busy”的错误信号：

　　在Activation阶段发出Temporary-Session-ID和Session-ID后，Byte-1(XX)的值会发生增长。远程控制卡会把0×00当做特殊的值进行跳过（值范围为0×01~0xFF），因此Session-ID的范围为(2^8)-1：

　　利用方法：任意命令注入

　　黑客可以在建立的session里注入任意命令，在他拥有USER账户权限时，可以通过现有的Temporary-Session-ID和Session-ID值预测下一次的值，其步奏如下：

　　1.在拥有账户凭据的情况下，黑客可以发送“Get Session Challenge”请求，去获得当前的Temporary-Session-ID。

　　2.使用下一个Session-ID携带IPMIv1.5命令，可以预测到其值为当前Temporary-Session-ID加上3。

　　3.重放该请求，当通信再次建立时，请求会注入到下一个session里。

　　下面是该攻击过程的两个截图：

　　在上面的例子中，第一个“User List”命令列出远程控制卡里的6个账户，但只有“root”用户拥有ADMINISTRATOR权限。接下来，却出现了一个由合法ADMINISTRATOR用户发送的“Chassis Status”命令。这是因为黑客用预测的Session-ID发送了“Set User Access”命令，然后获得了ADMINISTRATOR权限。最后的“User List”命令显示“Set User Access”确实注入成功，“user”账户已经由USER权限提升到ADMINISTRATOR权限：

　　上面的网络数据包截图展示了“Chassis Status”命令的执行结果。选中的第12帧为“Set User Access”的应答包，但其是通过另一个无关的IP进行注入的。这表明了虽然远程控制卡有着IP与Session-ID对应映射，它只会检查这个地址映射表去应答来源，但却没有用来限制来自外来源的请求。

　　在这次过滤中，任意命令注入发生在第10帧和14帧之间。如果远程控制卡是在第9帧（提前）收到了注入命令，黑客会收到“Insufficient Privilege Level”（权限不足）的错误提示。

　　这种攻击的缺点是会产生一定的信道噪声，因为黑客没有办法知晓下次session什么时候会建立起来。

　　供应商回应

　　这个漏洞可能有两个点需要修复。第一需要充分利用2^32的空间大小，保证选择值的随机性。第二则需要通过映射关系过滤请求的源，保证不会有外来源进行干涉通信。然而，戴尔为了修复iDRAC v1.98，而在这个版本里摈弃了IPMI v1.5协议，但这并不符合兼容规范。然而，他们给出了以下理由：

　　IPMI 1.5已经不再推荐使用，而且也没有戴尔用户请求我们使用它。

　　安全建议

　　据Dan Farmer于2014年6月发布的文章来看，大型扫描结果显示109，726台开着UDP 623端口的机器，还在使用IPMI v1.5，约占扫描总量的46.8%。若是根据戴尔在五月的卖出服务器占15%的市场份额来算，约有17，500台服务器还在使用IPMI v1.5。然而戴尔指出没有用户提出请求让他们实现向后兼容性，这意味着这17，500台机子除非已经全部更新到了IPMI v2.0，不然肯定是存在漏洞的。

　　为此，我们细细思量后，决定发布工具给大众用来检测服务器是否存在CVE-2014-8272漏洞，下载链接在这里。