El equipo de seguridad
de Dell a corregido 4 vulnerabilidades que pueden ser explotadas por usuarios
maliciosos en iDRAC.
¿Qué es iDRAC?
'Integrated Dell
Remote Access Controller' (iDRAC) permite implementar, actualizar, supervisar y
mantener los servidores Dell PowerEdge con o sin un agente de software de
administración de sistemas. Se encuentra integrado dentro del servidor por lo
que iDRAC no requiere de un sistema operativo o un hipervisor para funcionar.
Simplifica las tareas
de administración del ciclo de vida del servidor, como el aprovisionamiento,
implementación, mantenimiento, instalación de parches y actualizaciones.
Algunas de sus funciones:
·
Energía:
Los administradores entre otras cosas pueden en caso de bloqueo del sistema
realizar un reinicio del servidor.
·
Consola:
EL administrador puede interactuar con el servidor a través de la consola remota,
evitando estar físicamente delante de la máquina en caso de perder la conexión
con el sistema operativo.
·
Medios
virtuales: Permite montar imágenes de disco compartidas en red.
También permite
supervisar la temperatura, ventiladores y los eventos del sistema.
Detalle de vulnerabilidades
·
CVE-2018-1249.-
Las versiones de Dell EMC iDRAC9 anteriores a 3.21.21.21 no exigen el uso de
TLS/SSL para establecer la conexión con el servidor web de iDRAC en ciertas
URLs. Un atacante podría explotar esta vulnerabilidad para realizar un ataque
'mitm' (man-in-the-middle) y evitar que el cliente establezca una conexión
cifrada con el servidor.
·
CVE-2018-1244
.-Tanto las versiones anteriores a 2.60.60.60 de Dell EMC iDRAC7/iDRAC8 como
3.21.21.21 de iDRAC9 contienen una vulnerabilidad de inyección de comandos en
el agente SNMP. Un atacante autenticado podría aprovechar esta vulnerabilidad
para ejecutar comandos arbitrarios en iDRAC, donde las alertas de SNMP están
habilitadas.
·
CVE-2018-1212.-
La consola de diagnóstico web en Dell EMC iDRAC6 (todas las versiones
modulares) contiene una vulnerabilidad de inyección de comandos. Un usuario
malicioso autenticado de forma remota con acceso a la consola de diagnóstico
podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios como
root en el sistema que no se encuentre actualizado.
·
CVE-2018-1243
.- Las versiones anteriores a 2.91 de iDRAC6, 2.60.60.60 en iDRAC7/iDRAC8, así
como 3.21.21.21 en iDRAC9, contienen una vulnerabilidad de ID de sesión CGI
débil. Las sesiones invocadas a través de binarios CGI utilizan valores de 96
bits, lo que facilita a los atacantes remotos realizar ataques de fuerza bruta.
Dell ya ha publicado
un documento de soporte para solucionar las vulnerabilidades comentadas
anteriormente, así como consejos para mantener al día el firmware de iDRAC.
Más información:
·
Dell
EMC iDRAC response to multiple CVE's http://en.community.dell.com/techcenter/extras/m/white_papers/20487494
Fuente: Hispasec