Pfusch ohne Ende.

Mal eben die Server-Passwörter im Klartext auslesen? Und dann vom Server Remote ein neues Betriebssystem Booten? Ja, das geht bei rund 32.000 Servern weltweit. WTF! Ja, damit könnte man natürlich viel Spaß haben und so manchem Linux-Nutzer ein anständiges Betriebssystem verpassen ;-)

Aber Spaß beiseite, denn: Dumm ist nur, wenn die Lücke nicht im Betriebssystem oder genutzten Anwendungen, sondern fest und nicht ohne weiteres aktualisierbar in der Hardware steckt. Im Fernwartungs-Zugang vom Server-Board, mit dem man den Server so verwalten kann, als ob man davor sitzt: Tastatur, Bildschirm, virtuelles CD-Laufwerk (oder USB-Anschluss) und was man so braucht.

(Siehe auch: Meldung vom Entdecker der Lücke und Ars Technica Bericht)

Supermicro ist Hersteller von Server-Mainbaords (das sind die Dinger, auf dem die meisten Chips im Server aufgelötet oder eingesteckt sind) und viele Boards haben eine solche Lücke. Die Passwörter des Fernwartungszugangs lassen sich im Klartext auslesen. Einfach. Ganz einfach. Das kriegt jedes Anfänger-Skriptkiddie bei seinen ersten Übungen hin:

> telnet «IP-Adresse oder Hostname» 49152
GET /PSBlock 

Und die Antwort enthält alle Nutzernamen und Passwörter. Im Klartext. Nicht nur Passwörter, auch den SSH-Key vom Server und so weiter. Juchei. Nein, Scheiße, ich habe zwei Server mit Supermicro-Board (immerhin war nur einer angreifbar).

Ich weiß nicht, was in die Softwareentwickler vollidiotischen Vollpfosten bei Supermicro gefahren ist, solch einen Pfusch zu bauen. Für eine NSA-Hintertür ist das viel zu dämlich. Ich mag zwar auch nicht ausschließem, dass die Schlapphüte hier ihre Finger im Spiel hatten, aber sowas würde man besser verstecken. Daher: Unglaublich. Was für Leute entwickeln bei denen die Software?

Da sind mal wieder ein Haufen typischer Fehler, die selbst einem Semi-Profi nicht passieren dürfen: 

  1. Passwörter speichert man nicht im Klartext. (Jaja, ich weiß, es gibt ein paar schlechte Gründe, zum Beispiel IMAP/SMTP via CRAM-MD5/Digest-MD5, aber das ist eine andere Geschichte, und es sind eben schlechte Gründe und die greifen hier eh nicht)
  2. Sensible Dateien müssen geschützt werden. Wieso kann überhaupt ein Programm auf Passwörter zugreifen, das damit nichts zu tun hat?
  3. Man startet keine unnötigen Dienste.
  4. Man startet keine Dienste, die ungeprüft einfach mal alle Dateien nach draußen schicken.
  5. Wenn man doch unnötige Dienste starten will, soll der Nutzer sie selbst aktivieren.
  6. usw.

Aber die Sache sollte auch den Hosting-Providern eine Lehre sein: bei vielen sind die Fernwartungsfunktionen immer noch über öffentliche IP-Adressen erreichbar. Ab hinter ein VPN damit. Wirklich. Jetzt endlich! Es ist ja nicht das erste mal, dass ein Hersteller von Server-Boards eklatante Sicherheitslücken hatte. 

Fehler können passieren. Fehler zu machen ist menschlich. Aber hier hat nicht nur die Qualitätskontrolle versagt. Hier gab es offensichtlich weder Qualitätskontrolle noch Menschen, die bei dem was sie tun auch nur ein Fünkchen nachdenken.

Tja, aber was kann man dagegen tun? Der Anreiz für die Hersteller, Pfusch zu produzieren (oder in Auftrag zu geben) ist offensichtlich viel zu groß: es wird mit vielen Funktionen geworben, aber Geld gespart – und wenn etas schief geht, dann gibt's halt ein „Sorry!“.

Daher haben wir schon in der Internet-Enquete empfohlen: Wir brauchen ein Immunsystem der digitalen Gesellschaft und müssen die Haftungsregeln verschärfen. Ein Punkt dabei: Es muss weh tun, richtig weh tun, solchen Pfusch zu bauen. Vor allem wenn der Hersteller nicht angemessen reagiert. Dann passen die Hersteller auch besser auf. Vielleicht, in Zukunft. Klar, das wird nicht reichen. Aber es wäre ein Anfang.

Nichtsdestotrotz bin ich immer noch sprachlos, wie man solchen Mist produzieren kann. Andererseits habe ich schon viel gesehen, da sollte mich nichts mehr wundern. Pfusch und Gammelsoftware wird eh überall produziert. Warum rege ich mich also eigentlich auf? Hach.