Turning your BMC into a revolving door

Несвоевременная установка патчей для BMC и отсутствие контроля за их работой практически всегда приводит к ухудшению безопасности сложных сетевых инфраструктур и дата-центров.
В результате долгих попыток исследовать HPE iLO systems (4 и 5) мы обнаружили целый ряд уязвимостей, эксплуатация одной из которых позволяет полностью скомпрометировать iLO-чип c cамой хост-системы.
В нашем докладе мы расскажем, как успешная эксплуатация найденных нами уязвимостей может превратить iLO BMC в «карусельную дверь» между административной и производственной сетями.

Александре Гезе

Бывший старший исследователь информационной безопасности в Quarkslab, сейчас Александре Гезе изучает проблемы безопасности в Airbus Security Research Team. Он специализируется на реверс-инжиниринге, а также безопасности низкоуровневых и встроенных систем. Александре - завсегдатай профильных конференций. Он представлял результаты своих исследований на REcon (Канада), Hack In The Box (Малайзия, Нидерланды), SSTIC (Франция) и проч. Александре также участвовал в создании учебника по реверс-инжинирингу «Practical Reverse Engineering: x86, x64, Windows kernel, and obfuscation», впоследствии выпущенного издательством «John Wiley & Sons».

Джофри Чарны

Джофри Чарны (@_Sn0rkY) - глава redteam в компании Medallia, исследователь информационной безопасности, после захода солнца превращающийся в VoIP-хакера, а также вестник ЗОЖа и счастливой жизни. С 2001 года он опубликовал ряд эдвайсори и инструментов для продуктов VoIP Cisco, Active Directory и SAP. Джофри был докладчиком на таких конференциях по информационной безопасности, как: Hack.lu, Troopers, ITunderground, Hacktivity, HITB, SSTIC, REcon и Black Hat Arsenal.

Фабиен Перигу

Фабиен Перигу (0xf4b), ранее занимавший пост реверс-инженера в Airbus Defence и Space Cybersecurity, исследует вопросы информационной безопасности в Synacktiv. В его сферу интересов входят реверс-инжиниринг, исследование уязвимостей и встроенных устройств. Фабиен выступал в качестве докладчика на конференциях SSTIC, NoSuchCon, Grehack и BeeRumP.

Поделись в соцсетях

Like!