Исследователи кибербезопасности Eclypsium обнаружили две критические уязвимости в программном обеспечении AMI MegaRAC Baseboard Management Controller (BMC).
Программное обеспечение призвано предоставить ИТ-командам полный доступ к серверам облачного центра, позволяя им переустанавливать операционные системы, управлять приложениями и конечными точками, даже когда они выключены. На отраслевом жаргоне это программное обеспечение обеспечивает «внеполосное» и «автоматическое» удаленное управление системами.
Две уязвимости отслеживаются как CVE-2023-34329 (обход аутентификации с помощью подмены HTTP-заголовка) с серьезностью 9,9 и CVE-2023-34330 (внедрение кода через интерфейс Dynamic Redfish Extension) с серьезностью 8,2. Объединив эти уязвимости вместе, злоумышленники могут использовать интерфейс удаленного управления Redfish и получить возможность удаленного выполнения кода на уязвимых серверах. Учитывая популярность инструмента, это может означать миллионы серверов, поскольку уязвимая прошивка используется некоторыми из крупнейших в мире производителей серверов, обслуживающих ведущих поставщиков облачных услуг и центров обработки данных: AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, HPE, Huawei и другие.
Исследователи заявили, что разрушительный потенциал довольно велик, поскольку злоумышленники могут получить доступ к конфиденциальным данным, установить программы-вымогатели и трояны или даже заблокировать серверы, поместив их в неостановимый, бесконечный цикл перезагрузки.
«Мы также должны подчеркнуть, что такой имплантат может быть чрезвычайно сложно обнаружить, и любой злоумышленник может легко воспроизвести его в виде однострочного эксплойта», — предупреждают исследователи в своей статье.
Тем временем AMI выпустила патч, порекомендовав своим клиентам установить его немедленно, так как это лучший способ защититься от потенциального взлома.
Анализ: Почему это важно?
Дефекты значительны из-за их огромного разрушительного потенциала. Поскольку их можно найти у поставщика аппаратных компонентов, они могут попасть ко многим поставщикам облачных услуг и повлиять на бесчисленное количество предприятий. Уязвимости, подобные этим двум, равносильны атакам на цепочку поставок.
Все началось около двух лет назад, когда злоумышленник по имени RansomEXX скомпрометировал конечные точки гиганта компьютерного оборудования GIGABYTE. Мошенники украли более 100 гигабайт конфиденциальных данных, в том числе информацию от Intel, AMD и AMI, среди прочих. Затем данные просочились в даркнет, где их подобрали исследователи кибербезопасности Eclypsium (а также другие и потенциально многие злоумышленники).
Исследователи обнаружили два нулевых дня, которые годами скрывались в данных. Это включает в себя использование интерфейса удаленного управления Redfish для получения возможностей удаленного выполнения кода. Redfish объясняет Ars Technica в своей статье как преемника традиционных поставщиков IPMI и предлагает стандарт API для управления серверной инфраструктурой и другой инфраструктурой, необходимой для современных центров обработки данных. Он поддерживается практически всеми поставщиками серверов и инфраструктуры, а также проектом прошивки OpenBMC.
Недостатки можно найти в программном обеспечении BMCs — Baseboard Management Controller. Они предоставляют администраторам статус «Режим Бога» на серверах, которыми они управляют. Согласно Ars Technica, AMI является ведущим поставщиком BMC и микропрограммного обеспечения BMC, обслуживающим широкий круг поставщиков оборудования и поставщиков облачных услуг, в том числе крупнейших компаний-производителей.
Исследователи также добавили, что после анализа общедоступного исходного кода они смогли найти уязвимости и написать вредоносное ПО, заявив, что любой злоумышленник может сделать то же самое. Даже если у них не было доступа к исходному коду, они все равно могли выявить ошибки, декомпилировав образ прошивки MBC. Хорошая новость заключается в том, что до сих пор нет доказательств того, что кто-то делал именно это.
Что другие говорят о недостатках?
Для HD Moore, технического директора и соучредителя runZero, сейчас крайне важно, чтобы потенциально затронутые клиенты немедленно исправили свои системы: «Цепочка атак, идентифицированная Eclypsium, позволяет удаленному злоумышленнику полностью и потенциально навсегда скомпрометировать уязвимые контроллеры MegaRAC BMC», — сказал он. «Эта атака будет на 100% надежной, и ее будет трудно обнаружить задним числом».
Он добавил, что обновление неисправной прошивки AMI не должно быть слишком сложной задачей, если среды либо автоматизировали свои исправления, либо если они настроили Ethernet с поддержкой BMC, используемые для внеполосного управления, для использования выделенной сети.
В то время как пользователи Twitter, как правило, не слушали новости, пользователь по имени Secure ICS OT, который пишет в Твиттере об ICS и безопасности ICS, прокомментировал: «Смеется над изолированной локальной сетью», предполагая, что это лучший способ оставаться в безопасности. На Reddit пользователи были более разговорчивы, а один пользователь преуменьшил важность результатов: «Это не так плохо, как кажется. Сколько мест открыли свои BMC для Интернета? Если у них есть доступ, они все равно уже в вашей сети, а у вас проблемы посерьезнее», — сказали они.
«Я предполагаю, что в большинстве центров обработки данных есть BMC, iDRAC, контроллеры жизненного цикла и т. д. в VLAN управления, поэтому они имеют определенный уровень защиты», — добавил другой пользователь. «С другой стороны, 1,8 миллиарда малых предприятий используют Dell T450 на 192.168.1.x».
идти глубже
Если вы хотите узнать больше о недостатках, обязательно прочитайте нашу оригинальную статью о нем. Утечка данных GIGABYTEа также наш объяснитель по всем темам программа-вымогатель. Тогда обязательно продолжайте читать наше подробное руководство. лучшая защита от программ-вымогателейИ лучшие брандмауэры.
