Pet ranjivosti u softveru kontrolera za upravljanje osnovnom pločom (BMC) koji koristi 15 glavnih proizvođača moglo bi omogućiti daljinsko izvršavanje koda ako napadači dobiju pristup mreži.
Pet ranjivosti u firmware-u kontrolera za upravljanje osnovnom pločom (BMC) koji se koristi na serverima 15 glavnih proizvođača moglo bi dati napadačima mogućnost da daljinski kompromituju sisteme koji se široko koriste u centrima podataka i za usluge u Cloud-u.
Ranjivosti, od kojih je dvije ove sedmice otkrila firma za hardversku sigurnost Eclypsium, javljaju se u računarskim platformama sistem na čipu (SoC) koje koriste AMI-jev MegaRAC Baseboard Management Controller (BMC) softver za daljinsko upravljanje. Mane bi mogle uticati na servere koje proizvodi najmanje 15 proizvođača, uključujući AMD, Asus, ARM, Dell, EMC, Hewlett-Packard Enterprise, Huawei, Lenovo i Nvidia.
Eclypsium je otkrio tri ranjivosti u decembru, ali je zadržao informacije o dvije dodatne greške do ove sedmice kako bi AMI-ju omogućio više vremena da ublaži probleme.
Budući da se ranjivosti mogu iskoristiti samo ako su serveri povezani direktno na Internet, obim ranjivosti je teško izmjeriti, kaže Nate Warfield, direktor istraživanja prijetnji i obavještajnih podataka u Eclypsiumu.
“Zaista ne znamo koliki je radijus eksplozije na ovome, jer iako znamo neke od platformi, nemamo nikakve detalje o tome koliko su te stvari plodne”, kaže on. “Znate, da li su ih prodali 100.000? Da li su ih prodali 10 miliona? Mi jednostavno ne znamo.”
Kontroleri za upravljanje osnovnom pločom su obično jedan čip, ili sistem na čipu (SoC), instaliran na matičnoj ploči kako bi se omogućilo administratorima da daljinski upravljaju serverima sa skoro potpunom kontrolom. AMI-jev MegaRAC je kolekcija softvera zasnovana na Open BMC firmware projektu, projektu otvorenog koda za razvoj i održavanje dostupnog firmware-a kontrolera za upravljanje osnovnom pločom.
Mnogi proizvođači servera se oslanjaju na BMC softver kako bi omogućili administratorima da preuzmu potpunu kontrolu nad serverskim hardverom na niskom nivou, dajući mu pristup funkcijama “gašenja svjetla”, navodi se u savjetu Eclypsium. Budući da se softver široko koristi, otisak ranjivih funkcija je prilično velik.
“Ranjivosti u dobavljaču komponenti utiču na mnoge dobavljače hardvera, što se zauzvrat može prenijeti na mnoge usluge u Cloud-u”, navodi Eclypsium u svom savjetu. „Kao takve, ove ranjivosti mogu predstavljati rizik za servere i hardver koji organizacija direktno posjeduje, kao i za hardver koji podržava usluge u Cloud-u koje oni koriste.”
AMI je najnoviji proizvođač softvera za kontroler upravljanja osnovnim pločama (BMC) koji ima ranjivosti u svom kodu. U 2022. godini, Eclypsium je takođe pronašao ranjivosti na serverima Quanta Cloud Technology (QCT) koje su našle uobičajenu upotrebu od strane kompanija u Cloud-u. Prethodno istraživanje kompanije iz 2020. godine pokazalo je da nedostatak potpisanog firmware-a u laptopima i serverima može omogućiti napadaču da instalira trojanskog konja za daljinsko upravljanje uređajima.
Decembarski nedostaci najozbiljniji
Dvije posljednje greške objavljene 30. januara uključuju dva problema manje ozbiljnosti. Prva ranjivost (CVE-2022-26872) daje napadaču mogućnost da resetuje lozinku ako može da vremenski odredi napad tokom uskog prozora između vremena kada je jednokratna lozinka potvrđena i kada korisnik pošalje novu lozinku. U drugom bezbednosnom problemu (CVE-2022-40258), datoteka lozinke je hash-ovana sa slabim algoritmom, navodi Eclypsium.
Oba problema su manje ozbiljna od tri ranjivosti otkrivene u decembru, koje uključuju dvije ranjivosti, opasnu naredbu u BMC-ovom API-ju (CVE-2022-40259) i zadane kredencijale (CVE-2022-40242), koja bi mogla omogućiti jednostavan udaljeni kod za izvršenje, Eclypsium navodi u savjetu. Druga ranjivost (CVE-2022-2827) omogućava napadaču da daljinski nabraja korisnička imena putem API-ja.
Redfish API mjenja prethodne verzije Intelligent Platform Management Interface-a (IPMI) u modernim centrima podataka, uz podršku glavnih dobavljača servera i Open BMC projekta, prema Eclypsium-u.
Eclypsium je izvršio analizu AMI softvera nakon što je šifra procurila na internetu od strane ransomware grupe. Ne smatra se da je AMI izvor softverskog koda koji je procurio, već je kod rezultat toga što je dobavljač treće strane pogođen ransomware-om, kaže Warfield.
“Ono što smo otkrili još ljetos je da je neko procurio intelektualno vlasništvo za gomilu tehnoloških kompanija na internet,” kaže on. “I, dok smo kopali po njemu pokušavajući da shvatimo šta je to i ko ga poseduje, naišli smo na neke AMI-jeve intelektualne svojine. Tako da smo nekako počeli da kopamo po tome da vidimo šta možemo pronaći.”
Nepoznata brzina zakrpe
AMI je izdao zakrpljeni softver za svih pet ranjivosti, a sada je ublažavanje ranjivosti u rukama proizvođača servera i njihovih kupaca.
Mnogi dobavljači, kao što su HP, Intel i Lenovo, već su izdali savjete svojim klijentima. Međutim, zakrpe tih servera će biti na kompanijama koje imaju servere raspoređene u svojim data centrima.
Zakrpe firmware-a obično se dešavaju glacijalnom brzinom, što bi trebalo da zabrinjava, kaže Warfield.
“Škakljiv dio je vrijeme između izlaska zakrpe i ljudi koji ih stvarno primjenjuju”, kaže on. “BMC nije nešto sa mehanizmom za ažuriranje Windows-a, gdje možete reći: ‘Imam 100.000 servera koji su pogođeni. Dozvolite mi samo da im ovo prenesem svima’.”
Izvor: Dark Reading
