Comments 15
«Хитросплетения жизни больших корпораций»…
Как по мне — уязвимость. Что-то уровня sandbox escape, т.к. эти уровни не должны пересекаться, по-хорошему, если посмотреть с точки зрения безопасности. Об этом говорили давно, но вот выплыло только теперь. Фактически, при некоторых обстоятельствах, закладка — выпилить-то её невозможно, существует помимо воли владельца в системе и максимум, как можно защититься — не выводить её в доступную для злоумышленника среду, т.е. теряется вся идея удобства управления и спускается на уровень serial-порта. Вставать и ножками идти к серверам. Кстати, у меня такого рода вещи с момента появления (как раз из-за опасений) подключены только к изолированному свичу там же, в серверной. Разницы в схеме нет, попади злоумышленник туда — свич, сериал — уже без разницы.
Кстати, в первых ревизиях таких технологий всё ещё хуже. Там эта информация повешена на один из портов сетевого адаптера. Вот тут уж полная жесть. Интерфейс всегда смотрит в сеть. Или не использовать вообще, или попытаться отключить в BIOS, например.
Точно грешили этим какие-то проц/мать intel (у меня пара таких) года 10-11 выпусков, и точно есть такая беда у почившего ныне Sun Microsystems на amd (но тут amd не при чём — это всё же sun) — все sunfire x2200 (и 2100, кажется, тоже) — ILOM доступен через один из сетевых интерфейсов, причём были проблемы, когда отключение проходило некорректно и он продолжал отвечать на запросы из сети.
На MAC-адрес, на IP?
Хакеры использовали функцию CPU Intel Serial-over-LAN для обхода фаервола