<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se vuoi vedere la tua **azienda pubblicizzata in HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PACCHETTI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di esclusive [**NFT**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR a** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
**[Intelligent Platform Management Interface (IPMI)](https://www.thomas-krenn.com/en/wiki/IPMI_Basics)** offre un approccio standardizzato per la gestione remota e il monitoraggio dei sistemi informatici, indipendentemente dal sistema operativo o dallo stato di alimentazione. Questa tecnologia consente agli amministratori di sistema di gestire i sistemi in remoto, anche quando sono spenti o non rispondono, ed è particolarmente utile per:
IPMI è in grado di monitorare temperature, tensioni, velocità delle ventole e alimentatori, oltre a fornire informazioni sull'inventario, revisionare i log dell'hardware e inviare avvisi tramite SNMP. Per il suo funzionamento sono necessari una fonte di alimentazione e una connessione LAN.
Sin dalla sua introduzione da parte di Intel nel 1998, IPMI è stato supportato da numerosi fornitori, migliorando le capacità di gestione remota, soprattutto con il supporto della versione 2.0 per la seriale su LAN. I componenti chiave includono:
- **Baseboard Management Controller (BMC):** Il microcontrollore principale per le operazioni IPMI.
- **Bus e interfacce di comunicazione:** Per la comunicazione interna ed esterna, inclusi ICMB, IPMB e varie interfacce per connessioni locali e di rete.
Nel campo dell'IPMI 2.0, è stata scoperta una significativa falla di sicurezza da Dan Farmer, che espone una vulnerabilità attraverso il **tipo di cifratura 0**. Questa vulnerabilità, documentata in dettaglio nella ricerca di [Dan Farmer](http://fish2.com/ipmi/cipherzero.html), consente l'accesso non autorizzato con qualsiasi password, a condizione che venga preso di mira un utente valido. Questa debolezza è stata riscontrata in diverse BMC di produttori come HP, Dell e Supermicro, suggerendo un problema diffuso in tutte le implementazioni di IPMI 2.0.
Lo sfruttamento di questa falla è possibile con `ipmitool`, come dimostrato di seguito, consentendo la visualizzazione e la modifica delle password degli utenti:
Questa vulnerabilità consente il recupero delle password hashate con sale (MD5 e SHA1) per qualsiasi nome utente esistente. Per testare questa vulnerabilità, Metasploit offre un modulo:
Una configurazione predefinita in molti BMC consente l'accesso "anonimo", caratterizzato da stringhe di nome utente e password nulle. Questa configurazione può essere sfruttata per reimpostare le password degli account utente utilizzando `ipmitool`:
Una scelta di design critica in IPMI 2.0 richiede la memorizzazione delle password in chiaro all'interno dei BMC per scopi di autenticazione. La memorizzazione di queste password da parte di Supermicro in posizioni come `/nv/PSBlock` o `/nv/PSStore` solleva significative preoccupazioni per la sicurezza:
L'inclusione da parte di Supermicro di un listener UPnP SSDP nel firmware IPMI, in particolare sulla porta UDP 1900, introduce un grave rischio per la sicurezza. Le vulnerabilità nella versione 1.3.1 dell'Intel SDK per UPnP Devices, come dettagliato dalla [divulgazione di Rapid7](https://blog.rapid7.com/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play), consentono l'accesso root al BMC:
**HP randomizza la password predefinita** per il suo prodotto **Integrated Lights Out (iLO)** durante la produzione. Questa pratica contrasta con altri produttori, che tendono ad utilizzare **credenziali predefinite statiche**. Di seguito viene fornito un riassunto degli username e delle password predefinite per vari prodotti:
- **HP Integrated Lights Out (iLO)** utilizza una **stringa di 8 caratteri generata casualmente in fabbrica** come password predefinita, mostrando un livello di sicurezza più elevato.
- Prodotti come **Dell's iDRAC, IBM's IMM** e **Fujitsu's Integrated Remote Management Controller** utilizzano password facilmente indovinabili come "calvin", "PASSW0RD" (con uno zero) e "admin" rispettivamente.
- Allo stesso modo, **Supermicro IPMI (2.0), Oracle/Sun ILOM** e **ASUS iKVM BMC** utilizzano anche credenziali predefinite semplici, con "ADMIN", "changeme" e "admin" come password.
L'accesso amministrativo al Baseboard Management Controller (BMC) apre varie vie per accedere al sistema operativo dell'host. Un approccio diretto prevede lo sfruttamento della funzionalità Keyboard, Video, Mouse (KVM) del BMC. Ciò può essere fatto riavviando l'host a una shell di root tramite GRUB (utilizzando `init=/bin/sh`) o avviando da un CD-ROM virtuale impostato come disco di salvataggio. Tali metodi consentono la manipolazione diretta del disco dell'host, inclusa l'inserimento di backdoor, l'estrazione di dati o qualsiasi azione necessaria per una valutazione della sicurezza. Tuttavia, ciò richiede il riavvio dell'host, che è un inconveniente significativo. Senza riavviare, l'accesso all'host in esecuzione è più complesso e varia in base alla configurazione dell'host. Se la console fisica o seriale dell'host rimane connessa, può essere facilmente presa in consegna tramite le funzionalità KVM o serial-over-LAN (sol) del BMC tramite `ipmitool`. Esplorare lo sfruttamento delle risorse hardware condivise, come il bus i2c e il chip Super I/O, è un'area che richiede ulteriori indagini.
Dopo aver compromesso un host dotato di un BMC, l'**interfaccia locale del BMC può essere sfruttata per inserire un account utente backdoor**, creando una presenza duratura sul server. Questo attacco richiede la presenza di **`ipmitool`** sull'host compromesso e l'attivazione del supporto del driver BMC. I seguenti comandi illustrano come un nuovo account utente può essere iniettato nel BMC utilizzando l'interfaccia locale dell'host, bypassando la necessità di autenticazione. Questa tecnica è applicabile a una vasta gamma di sistemi operativi, inclusi Linux, Windows, BSD e persino DOS.
<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se vuoi vedere la tua **azienda pubblicizzata in HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di [**NFT**](https://opensea.io/collection/the-peass-family) esclusivi
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
