Este informe identifica hosts que tienen el servicio de interfaz de administración de plataforma inteligente (IPMI) abierto (puerto 623/udp) y accesible desde Internet.
IPMI es la base de la mayoría de las suites de administración Out Of Band/Lights Out y se implementa mediante el controlador de administración de placa base (BMC) del servidor. El BMC tiene acceso y control casi total de los recursos del servidor, incluidos, entre otros, la memoria, la energía y el almacenamiento. Cualquiera que pueda controlar su BMC (a través de IPMI) puede controlar su servidor.
Se sabe que las instancias de IPMI en general contienen una variedad de vulnerabilidades, algunas más graves que otras. En resumen, realmente no se debe exponer IPMI a Internet.
Si aún no está convencido, consulte el excelente trabajo de Dan Farmer sobre problemas de seguridad de IPMI en http://fish2.com/ipmi/ y la alerta TA13-207A de US-CERT en https://www.us -cert.gov/ncas/alerts/TA13-207A
Para obtener más detalles sobre la metodología de escaneo y una actualización diaria de las estadísticas globales de escaneo de IPMI, visite la página dedicada de escaneo de IPMI .
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
CAMPOS
timestamp | Hora en que se sondeó la IP en UTC+0 |
ip | La dirección IP del dispositivo en cuestión. |
protocol | Protocolo en el que se produjo la respuesta de IPMI (UDP) |
port | Puerto del que provino la respuesta de IPMI |
hostname | Nombre DNS inverso del dispositivo en cuestión |
ans | ASN de donde reside el dispositivo en cuestión |
geo | País donde reside el dispositivo en cuestión |
region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
city | Ciudad en la que reside el dispositivo en cuestión |
ipmi_version | Compatibilidad con la versión de IPMI (versión 1.5 o 2.0) |
none_auth | Admite NINGUNO mecanismo de autenticación (sí = malo) |
md2_auth | Admite el mecanismo de autenticación MD2 (sí = malo) |
md5_auth | Soporta mecanismo de autenticación MD5 |
passkey_auth | Admite autenticación directa de contraseña/clave (sí = malo) |
oem_auth | Admite mecanismos de autenticación patentados (desconocido si es bueno o malo) |
defaultkg | Solo IPMI v2.0: estado de autenticación de inicio de sesión de dos claves (el valor predeterminado significa que la clave está configurada en ceros) |
permessage_auth | Estado de autenticación por mensaje (deshabilitado es malo) |
userlevel_auth | Estado de autenticación de nivel de usuario (deshabilitado es malo) |
usernames | Nombres de usuario no nulos habilitados (al menos una cuenta habilitada tiene un nombre de usuario no nulo) |
nulluser | Los nombres de usuario NULL están habilitados con contraseñas no NULL |
anon_login | Se permiten inicios de sesión anónimos (nombre de usuario NULL y contraseña NULL) (sí = incorrecto) |
error | Autenticación «ninguna» de IPMI v1.5 únicamente: condición de error, si la hay, informada cuando se envía una sonda de «información» al BMC |
deviceid | Autenticación «ninguna» de IPMI v1.5 únicamente: ID del dispositivo: especificado por el fabricante, generalmente como un identificador de instancia |
devicerev | Autenticación «ninguna» de IPMI v1.5 únicamente — Revisión del dispositivo: número de revisión del BMC sondeado |
firmwarerev | Solo autenticación «ninguna» de IPMI v1.5 — Revisión de firmware: número mayor y menor de la versión de firmware instalada |
version | Solo autenticación «ninguna» de IPMI v1.5: versión de IPMI: especifica con qué versión de la especificación de IPMI es compatible el controlador |
manufacturerid | Autenticación «ninguna» de IPMI v1.5 únicamente: ID del fabricante: nombre del fabricante en formato de código de empresa privada de administración de red SMI |
manufacturername | Solo autenticación «ninguna» de IPMI v1.5: nombre del fabricante |
productid | Solo autenticación «ninguna» de IPMI v1.5: ID de producto del dispositivo sondeado |
productid | Solo autenticación «ninguna» de IPMI v1.5: nombre del producto del dispositivo sondeado |
EJEMPLO
"timestamp","ip","port","hostname","tag","ipmi_version","asn","geo","region","city","none_auth","md2_auth","md5_auth","passkey_auth","oem_auth","defaultkg","permessage_auth","userlevel_auth","usernames","nulluser","anon_login","error","deviceid","devicerev","firmwarerev","version","manufacturerid","manufacturername","productid","productname"
"2014-06-19 01:08:56","199.238.169.219",623,"cramerconstructions.com.au","ipmi","1.5",2914,"US","CALIFORNIA","MILPITAS","yes","no","yes","yes","no","-","enabled","enabled","no","yes","no",,32,1,"2.40","1.5",343,"Intel Corporation","17169 (0x4311)","NSI2U"
"2014-06-19 01:08:56","193.124.60.29",623,,"ipmi","2.0",2118,"RU","MOSCOW CITY","MOSCOW","yes","yes","yes","yes","no","default","enabled","enabled","yes","yes","no",,,,,,,,,
"2014-06-19 01:08:56","173.45.2.72",623,,"ipmi","1.5",33597,"US","PENNSYLVANIA","ALLENTOWN","yes","no","yes","yes","no","-","enabled","enabled","no","yes","no","Activate Session error: Invalid command",,,,,,"Reserved",,
"2014-06-19 01:08:56","188.116.19.4",623,,"ipmi","2.0",43333,"PL","POMORSKIE","GDANSK","no","no","yes","no","no","default","enabled","enabled","yes","no","no",,,,,,,,,
"2014-06-19 01:08:56","63.141.224.94",623,,"ipmi","2.0",33387,"US","MISSOURI","NORTH KANSAS CITY","no","yes","yes","yes","no","default","enabled","enabled","yes","no","no",,,,,,,,,
"2014-06-19 01:08:56","112.73.8.4",623,"hello.network","ipmi","2.0",9304,"CN","GUANGDONG","GUANGZHOU","yes","yes","yes","yes","no","default","enabled","enabled","yes","no","no",,,,,,,,,
"2014-06-19 01:08:56","91.235.106.33",623,"h91-235-106-33.kuzdrav.ru","ipmi","1.5",35835,"RU","KEMEROVO","KEMEROVO","yes","no","yes","yes","no","-","enabled","enabled","no","yes","no",,32,1,"2.40","1.5",343,"Intel Corporation","17169 (0x4311)","NSI2U"
"2014-06-19 01:08:56","62.117.115.163",623,,"ipmi","1.5",8732,"RU","MOSCOW CITY","MOSCOW","yes","no","yes","yes","no","-","enabled","enabled","no","yes","no",,32,1,"2.40","1.5",343,"Intel Corporation","17169 (0x4311)","NSI2U"
"2014-06-19 01:08:56","206.214.64.64",623,,"ipmi","2.0",30693,"US","ARIZONA","TEMPE","no","yes","yes","yes","no","default","enabled","enabled","yes","yes","no",,,,,,,,,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/open-ipmi-report/