研究人员披露戴尔 PowerEdge 服务器中 iDRAC 技术存在严重漏洞

iDRAC技术中的路径遍历漏洞可以使远程攻击者控制服务器操作的控制权。

研究人员已经披露了最近修复的，严重程度很高的Dell PowerEdge服务器漏洞的详细信息，如果利用该漏洞，攻击者可以完全接管并控制服务器的运行。

该Web漏洞是在Dell EMC iDRAC远程访问控制器中发现的，该技术嵌入在最新版本的Dell PowerEdge服务器中。虽然漏洞已在7月初修复，但发现该漏洞的Positive Technologies研究人员Georgy Kiguradze和Mark Ermolov周二发表了一份详细的分析报告。

根据在线发布的一份咨询报告，在4.20.20.20之前的Dell EMC iDRAC9版本中发现的路径遍历漏洞CVE-2020-5366被评为7.1，具有很高的严重性漏洞等级。

研究人员说，路径遍历是他们在调查中遇到的三个最常见的漏洞之一。如果被利用，则该漏洞可能使攻击者可以查看服务器文件夹的内容，即使对于以普通站点登录的用户也不应访问该文件夹。研究人员说，iDRAC运行在Linux上，对于黑客来说，利用此漏洞的特别之处在于可以读取文件/ etc / passwd，该文件存储有关Linux用户的信息。

攻击者如何使用此漏洞的一个示例是对Zoom视频会议应用程序上发现的两个漏洞的攻击，该漏洞可能允许远程攻击者侵入群聊中任何参与者的系统。实际上，Dell EMC在其建议中警告说，具有低权限的远程、经过身份验证的恶意用户可能会通过操纵输入参数来利用iDRAC漏洞，以获得对任意文件的未经授权的读取访问权限。

iDRAC旨在使IT管理员无需安装新软件即可远程部署，更新，监视和维护Dell服务器。戴尔已经发布了iDRAC固件的更新程序，该更新程序修复了该缺陷，并建议客户尽快进行更新。

研究人员说，只有在iDRAC连接到Internet时才能利用此漏洞，Dell EMC不建议这样做。IDRAC在Dell EMC服务器中也是相对较新的技术，这意味着它可能尚未广泛使用。

不过，研究人员表示，公共搜索引擎已经发现了可以利用Internet连接到iDRAC的多个连接，以及500个可用于使用SNMP进行访问的控制器。

Kiguradze在一份新闻声明中解释说，iDRAC控制器被网络管理员用来管理关键服务器，“有效地充当了服务器本身内部的一台独立计算机”。

他说：“ iDRAC运行在普通Linux上，尽管配置有限，并且具有完整的文件系统。” “该漏洞使得可以读取控制器操作系统中的任何文件，并且在某些情况下，还可能干扰控制器的操作-例如，在读取/dev/urandom等符号Linux设备期间。”

Kiguradze说，攻击者可以通过获取特权用户的备份拥有凭据或暴力手段从外部利用此漏洞。他说，他们还可以使用服务器访问受限的初级管理员帐户在内部利用此漏洞。一旦攻击者获得控制权，他或她就可以从外部阻止或破坏服务器的操作。

为了更好地保护使用iDRAC的Dell服务器，研究人员建议客户将iDRAC放在单独的管理网络中，并且不要将控制器连接到互联网。公司还应隔离管理网络或VLAN(例如使用防火墙)，并仅允许授权的服务器管理员访问子网或VLAN。

Dell EMC为保护iDRAC免受入侵而提出的其他建议包括：使用256位加密和TLS 1.2或更高版本。配置选项，例如IP地址范围过滤和系统锁定模式；以及其他身份验证，例如Microsoft Active Directory或LDAP。