Universidade
Federal do Rio Grande

Ir para o conteúdo 1
Ir para o menu 2
Ir para a busca 3
Ir para o rodapé 4

Segurança da Informação

Universidade Federal do Rio Grande - FURG

Protocolos de Rede Vulneráveis

Oque são Protocolos de Rede?

Protocolos de rede são os conjuntos de normas que permitem duas ou mais máquinas conectadas à internet se comuniquem. Essas normas operam como uma linguagem universal, que pode ser interpretada por dispositivos (computadores, notebooks, celulares, ...) de qualquer fabricante, por meio de qualquer sistema operacional.

Eles são responsáveis por pegar os dados transmitidos pela rede e dividi-los em pequenos pedaços, que são chamados de pacotes. Cada pacote carrega em si informações de endereçamento de origem e destino. Os protocolos também são responsáveis pela sistematização das fases de estabelecimento, controle, tráfego e encerramento.

Porém algumas normas apresentam falhas que podem ser exploradas para fornecer ao atacante algum tipo de benefício.

Abaixo você encontrará uma lista com alguns protocolos monitorados pela FURG, porque são vulneráveis e alguns links de estudo.

IPMI-RMCP

— Publicado: 10/05/2022 14h53

Serviço:

Intelligent Platform Management Interface (IPMI)

Remote Management and Control Protocol (RMCP)

Descrição do serviço:

É uma interface padronizada para gerência de hardware utilizada por administradores de sistema para monitorar sistemas de computadores. Administradores podem utilizar as mensagens do IPMI para monitorar o estado da plataforma por meio de dados como a temperatura, a tensão, estado da ventilação e das fontes de energia ou mesmo informações para inventário. Também é possível efetuar operações de recuperação remota, configurando o desligamento, reinício e a programação dos watchdog timers.

Por padrão o IPMI trabalha com UDP na porta 623.

O sucessor do IPMI é o Redfish.

Vulnerabilidade:

Pode ser utilizado para ataques de negação de serviço, distribuído e com reflexão e amplificação. Exposição de informações sensíveis.

Descrição do ataque:

O ataque é feito direcionando consultas para um host vulnerável e através da técnica de spoofing direcionar o resultado dessa consulta para o ip spoofado gerando assim um ataque de negação de serviço usando seu host como atacante. Além disso, servidores IPMI mal configurados podem permitir acesso a dados e desconfiguração de servidores.

https://www.ibm.com/support/knowledgecenter/pt-br/POWER9/p9hdx/p9eih_openbmc_security.htm

Verificação:

nmap -sU --script ipmi-brute -p 623 [IP/rede]
nmap -sU --script ipmi-version -p 623 [IP/rede]
https://vtest.cais.rnp.br/cgi-bin/check_vul.pl

https://www.zabbix.com/documentation/current/pt/manual/config/items/itemtypes/ipmi

https://book.hacktricks.xyz/pentesting/623-udp-ipmi

Solução:

Limitar acesso via firewall ou configuração do serviço.

Referências:

https://pt.wikipedia.org/wiki/Intelligent_Platform_Management_Interface

https://en.wikipedia.org/wiki/Intelligent_Platform_Management_Interface

https://www.fortiguard.com/appcontrol/35961

https://blog.rapid7.com/2013/07/02/a-penetration-testers-guide-to-ipmi

https://www.somosagility.com.br/6854-2