domingo, 8 de julio de 2018

Vulnerabilidades en iDRAC - PowerEdge Dell EMC

El equipo de seguridad de Dell ha corregido 4 vulnerabilidades que pueden ser explotadas por usuarios maliciosos en iDRAC.




¿Qué es iDRAC?

'Integrated Dell Remote Access Controller' (iDRAC) permite implementar, actualizar, supervisar y mantener los servidores Dell PowerEdge con o sin un agente de software de administración de sistemas. Se encuentra integrado dentro del servidor por lo que iDRAC no requiere de un sistema operativo o un hipervisor para funcionar.


iDRAC ofrece al administrador un panel intuitivo para supervisar el sistema
Visión global del sistema
Simplifica las tareas de administración del ciclo de vida del servidor, como el aprovisionamiento, implementación, mantenimiento, instalación de parches y actualizaciones.

Algunas de sus funciones:

  • Energía: Los administradores entre otras cosas pueden en caso de bloqueo del sistema realizar un reinicio del servidor.
  • Consola: EL administrador puede interactuar con el servidor a través de la consola remota, evitando estar físicamente delante de la máquina en caso de perder la conexión con el sistema operativo. 
  • Medios virtuales: Permite montar imágenes de disco compartidas en red.
También permite supervisar la temperatura, ventiladores y los eventos del sistema.


La consola web de iDRAC9 permite supervisar los eventos del sistema
Supervisión de logs en iDRAC9


Vulnerabilidades reportadas:


CVE-2018-1249

Las versiones de Dell EMC iDRAC9 anteriores a 3.21.21.21 no exigen el uso de TLS/SSL para establecer la conexión con el servidor web de iDRAC en ciertas URLs. Un atacante podría explotar esta vulnerabilidad para realizar un ataque 'mitm' (man-in-the-middle) y evitar que el cliente establezca una conexión cifrada con el servidor.

https://nvd.nist.gov/vuln/detail/CVE-2018-1249

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1249



CVE-2018-1244

Tanto las versiones anteriores a 2.60.60.60 de Dell EMC iDRAC7/iDRAC8 como 3.21.21.21 de iDRAC9 contienen una vulnerabilidad de inyección de comandos en el agente SNMP. Un atacante autenticado podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en iDRAC, donde las alertas de SNMP están habilitadas.

https://nvd.nist.gov/vuln/detail/CVE-2018-1244

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1244



CVE-2018-1212

La consola de diagnóstico web en Dell EMC iDRAC6 (todas las versiones modulares) contiene una vulnerabilidad de inyección de comandos. Un usuario malicioso autenticado de forma remota con acceso a la consola de diagnóstico podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios como root en el sistema que no se encuentre actualizado.

https://nvd.nist.gov/vuln/detail/CVE-2018-1212

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1212



CVE-2018-1243

Las versiones anteriores a 2.91 de iDRAC6, 2.60.60.60 en iDRAC7/iDRAC8, así como 3.21.21.21 en iDRAC9, contienen una vulnerabilidad de ID de sesión CGI débil. Las sesiones invocadas a través de binarios CGI utilizan valores de 96 bits, lo que facilita a los atacantes remotos realizar ataques de fuerza bruta.

https://nvd.nist.gov/vuln/detail/CVE-2018-1243
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1243




Breve introducción donde se pueden apreciar algunas funciones de iDRAC9


Dell ya ha publicado un documento de soporte para solucionar las vulnerabilidades comentadas anteriormente, así como consejos para mantener al día el firmware de iDRAC.




Laboratorio Hispasec
Más información: