Новые уязвимости означают, что пришло время пересмотреть серверные интерфейсы BMC
Две недавно обнаруженные уязвимости в широко используемых контроллерах управления основной платой могут предоставить удаленным и локальным злоумышленникам полный контроль над серверами.
Частота и серьезность проблем безопасности, обнаруживаемых на протяжении многих лет во встроенном ПО контроллеров управления основной платой (BMC), присутствующих в материнских платах серверов, подчеркивают часто упускаемую из виду, но критическую область безопасности ИТ-инфраструктуры. Последним дополнением к растущему списку недостатков являются две уязвимости в широко используемом интерфейсе управления с отключением света, используемом различными производителями серверов. При совместном использовании они могут предоставить удаленным и локальным злоумышленникам полный контроль над затронутыми серверами на низком и труднообнаружимом уровне.
«Последствия эксплуатации этих уязвимостей включают в себя удаленное управление скомпрометированными серверами, удаленное развертывание вредоносных программ, программ-вымогателей и встроенного ПО или блокировку компонентов материнской платы (BMC или, возможно, BIOS/UEFI), потенциальное физическое повреждение серверов (перенапряжение/блокировка встроенного ПО), и бесконечные циклы перезагрузки, которые организация-жертва не может прервать», — заявили недавно в своем отчете исследователи из компании Eclypsium, занимающейся безопасностью встроенного программного обеспечения. — Действительно, свет погас.
BMC — это специализированные микроконтроллеры, которые имеют собственную прошивку и операционную систему, выделенную память, питание и сетевые порты. Они используются для внешнего управления серверами, когда их основные операционные системы выключены. BMC — это, по сути, меньшие компьютеры, которые работают внутри серверов и позволяют администраторам удаленно выполнять задачи обслуживания, такие как переустановка операционных систем, перезапуск серверов, когда они перестают отвечать на запросы, развертывание обновлений встроенного ПО и т. д. Это также иногда называют управлением отключением света.
Исследователи безопасности предупредили о проблемах безопасности в реализациях BMC и спецификации интеллектуального интерфейса управления платформой (IPMI), которую они использовали в течение как минимум десяти лет. Уязвимости включали жестко закодированные учетные данные и пользователей, неправильные настройки, слабое или отсутствующее шифрование, а также ошибки кода, такие как переполнение буфера. Несмотря на то, что эти интерфейсы управления должны работать в изолированных сегментах сети, за прошедшие годы были обнаружены сотни тысяч подключенных к Интернету.
В прошлом году исследователи обнаружили вредоносный имплант под названием iLOBleed, который, вероятно, был разработан группой APT и развертывался на серверах Hewlett Packard Enterprise (HPE) Gen8 и Gen9 через уязвимости в HPE iLO (HPE's Integrated Lights-Out) BMC, которые были известны с тех пор. 2018.
Сообщается, что в 2018 году злоумышленники развернули программу-вымогатель JungleSec на серверах Linux, воспользовавшись небезопасными интерфейсами IPMI, в которых использовались учетные данные администратора по умолчанию. В 2016 году Microsoft сообщила, что группа APT, получившая название PLATINUM, использовала функцию Serial-over-LAN (SOL) Intel Active Management Technology (AMT) для настройки скрытого канала связи для передачи файлов. AMT — это компонент Intel Management Engine (Intel ME), решения, подобного BMC, которое присутствует в большинстве процессоров Intel для настольных и серверных компьютеров.
Исследователи Eclypsium обнаружили и раскрыли две новые уязвимости в MegaRAC, реализации прошивки BMC, разработанной компанией American Megatrends (AMI), крупнейшим в мире поставщиком прошивок BIOS/UEFI и BMC. Производители серверов, которые с течением времени использовали AMI MegaRAC в некоторых своих продуктах, включают AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, NVidia, Qualcomm, Quanta и Тян.
Это не первый раз, когда Eclypsium обнаруживает уязвимости BMC. В декабре 2022 года компания раскрыла пять других уязвимостей, выявленных ею в AMI MegaRAC, некоторые из которых позволяли выполнять произвольный код через Redfish API или обеспечивали SSH-доступ к привилегированным учетным записям из-за жестко запрограммированных паролей.
Две новые уязвимости также обнаружены в интерфейсе управления Redfish. Redfish — это стандартизированный интерфейс для внеполосного управления, разработанный для замены старого IPMI.