Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[긴급 탐지 패턴 공지] HP ILO4 원격 코드 실행 취약점(CVE-2017-12542)
작성일 2018-02-12 조회 252

 

 

 

 

Critical!! HP ILO4 원격 코드 실행 취약점 HP ILO4 Heap buffer overflow in HTTP headers processing

(CVE-2017-12542)

 

Connection 헤더를 처리 할 때 sscanf () 함수가 안전하지 않은 형식 문자열과 함께 호출됩니다.
이 불안전한 호출은 중복된 Connection 헤더를 처리 할 때 힙 기반 버퍼 오버 플로우를 발생 시킵니다.
힙의 중요한 요소를 덮어 쓰면 임의 코드가 실행될 수 있습니다


HP iLO 4는 또한 포트 623에서 IPMI 인터페이스를 제공합니다. iLO는 거의 모든 HP 서버에 10 년 이상 내장 된 서버 관리 솔루션 입니다. 시스템 관리자가 실제로 서버에 연결할 필요없이 원격으로 서버를 관리하는 데 필요한 모든 기능을 제공합니다. 이러한 기능으로는 전원 관리, 원격 시스템 콘솔, 원격 CD / DVD 이미지 마운팅 및 많은 모니터링 표시기가 있습니다.

원격의 공격자는 IPMI 인터페이스 헤더 파싱 취약점을 이용해 임의의 코드를 실행할 수 있습니다.

 

현재 Shodan에서 검색되는 HP-iLO Server는 14,000건 이상으로 보안 업데이트가 이루어지지 않은 서버는 각별한 주의가 필요합니다.

 

 

 

취약점 공격 탐지 패턴
[HP iLO4 HTTPS Connect Detection]

alert TCP any any -> any 443 (msg:"HP iLO4 HTTPS Connect Detection"; flow:to_server; content:"|21 69 4c 4f 20 44 65 66 61 75 6c 74 20 49 73 73 75 65 72 20 28 44 6f 20 6e 6f 74 20 74 72 75 73 74 29 31 20 30 1e 06 03 55 04|"; priority:1; classtype:exploit; reference:cve,CVE-2017-12542; reference:url,https://github.com/airbus-seclab/airbus-seclab.github.io/blob/master/ilo/RECONBRX2018-Slides-Subverting_your_server_through_its_BMC_the_HPE_iLO4_case-perigaud-gazet-czarny.pdf; sid:0;)

► 외부에서 내부의 HP iLO4로 SSL 접속 시도를 차단하는 패턴으로, 악성 트래픽 여부와 상관없이 외부에서 내부의 HP iLO4로의 모든 트래픽을 차단합니다.
정상 패킷 차단이 발생하므로 사이트 상황에 맞게 적용 바랍니다.


[HP iLO4 HTTPS Header Connection Authentication Bypass]

alert TCP any any -> any [443,80] (msg:"HP iLO4 HTTPS Header Connection Authentication Bypass"; flow:to_server; content:"/rest/v1/AccountService/Accounts HTTP/"; pcre:"/Connection:s?w{29,}/i"; priority:1; classtype:exploit; reference:cve,CVE-2017-12542; reference:url,https://github.com/airbus-seclab/airbus-seclab.github.io/blob/master/ilo/RECONBRX2018-Slides-Subverting_your_server_through_its_BMC_the_HPE_iLO4_case-perigaud-gazet-czarny.pdf; sid:0;)

► HP Integrated Lights-Out 4 Code Execution[CVE-2017-12542] 취약점패턴으로 HTTPS Header 처리기에서 발생하는 Overflow를 유발하는 공격 트래픽을 탐지합니다.
단, SSL 복호화 구간에 IDS가 위치해야 탐지가 가능합니다.

 

첨부파일 첨부파일이 없습니다.
태그 CVE-2017-12542   ILO4