Cercetătorii de securitate cibernetică de la Eclypsium au descoperit două vulnerabilități critice în software-ul AMI MegaRAC Baseboard Management Controller (BMC).
Software-ul este conceput pentru a oferi echipelor IT acces deplin la serverele centrului cloud, permițându-le să reinstaleze sisteme de operare, să gestioneze appsși gestionați punctele finale chiar și atunci când sunt oprite. În argoul industriei, software-ul permite gestionarea sistemului de la distanță „în afara benzii” și „stingerea luminilor”.
Cele două defecte sunt urmărite ca CVE-2023-34329 (ocolire a autentificării prin falsificarea antetului HTTP) cu un scor de severitate de 9.9 și CVE-2023-34330 (injectare de cod prin interfața Dynamic Redfish Extension) cu un scor de severitate de 8.2. Prin înlănțuirea acestor vulnerabilități, actorii amenințărilor ar putea folosi interfața de gestionare la distanță Redfish și ar putea obține capabilități de execuție de cod de la distanță pe servere vulnerabile. Având în vedere popularitatea instrumentului, acest lucru ar putea însemna milioane de servere, deoarece firmware-ul vulnerabil este utilizat de unii dintre cei mai mari producători de servere din lume care deservesc furnizori de servicii cloud și centre de date de profil înalt: AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo. , Nvidia, Qualcomm, HPE, Huawei și multe altele.
Potențialul distructiv este destul de extins, au spus cercetătorii, deoarece actorii amenințărilor ar putea obține acces la date sensibile, ar putea instala ransomware, troieni sau chiar ar putea bloca serverele, punându-le într-o buclă de repornire fără sfârșit de neoprit.
„Trebuie să subliniem, de asemenea, că un astfel de implant poate fi extrem de greu de detectat și este extrem de ușor de recreat pentru orice atacator sub forma unui exploit pe o singură linie”, au avertizat cercetătorii în documentul lor.
De atunci, un patch a fost pus la dispoziție de AMI, care și-a sfătuit clienții să-l aplice imediat, deoarece acesta este cel mai bun mod de a vă proteja împotriva unui potențial compromis.
Analiză: De ce contează?
Defectele contează datorită potențialului lor distructiv enorm. Deoarece acestea se găsesc la un furnizor de componente hardware, ele se pot scurge la mulți furnizori de servicii cloud, afectând nenumărate organizații. Vulnerabilități precum acestea două sunt egale cu lovirea fluxului mamă al atacurilor lanțului de aprovizionare.
Totul a început în urmă cu aproximativ doi ani, când un actor de amenințare numit RansomEXX a compromis punctele finale aparținând gigantului hardware de computere GIGABYTE. Escrocii au furat peste 100 de gigaocteți de date sensibile, inclusiv informații aparținând Intel, AMD și, printre altele, AMI. Ulterior, datele au fost scurse pe dark web, unde au fost preluate de cercetătorii de securitate cibernetică de la Eclypsium (precum și alții și, eventual, mulți actori rău intenționați).
Cercetătorii au descoperit două zile zero care au pândit printre date de ani de zile. Include utilizarea interfeței de gestionare la distanță Redfish pentru a obține capabilități de execuție a codului de la distanță. Redfish, explică Ars Technica în lucrarea sa, ca succesor al furnizorilor tradiționali de IPMI și oferă un standard API pentru a gestiona infrastructura serverelor și alte infrastructuri necesare centrelor de date de astăzi. Este susținut de practic toți furnizorii de servere și infrastructură și de proiectul de firmware OpenBMC.
Defectele se găsesc în software-ul BMCs – Baseboard Management Controller. Acestea acordă administratorilor statutul „modul Dumnezeu” asupra serverelor pe care le administrează. Conform Ars Technica, AMI este principalul furnizor de BMC și firmware BMC și deservește o gamă largă de furnizori de hardware și furnizori de servicii cloud, inclusiv cele mai mari nume de uz casnic.
Cercetătorii au adăugat, de asemenea, că, după ce au analizat codul sursă disponibil public, au reușit să găsească vulnerabilitățile și să scrie malware, afirmând că orice actor rău intenționat de acolo ar putea face același lucru. Chiar dacă nu aveau acces la codul sursă, totuși puteau identifica defectele prin decompilarea imaginilor firmware MBC. Vestea bună este că încă nu există dovezi că cineva a făcut tocmai asta.
Ce au spus alții despre defecte?
Pentru HD Moore, CTO și co-fondator la runZero, acum este esențial ca clienții potențial afectați să-și corecteze sistemele imediat: „Lanțul de atac identificat de Eclypsium permite unui atacator de la distanță să compromită complet și posibil permanent BMC-urile MegaRAC vulnerabile”, a spus el. „Acest atac ar fi 100% fiabil și dificil de detectat după fapt.”
El a adăugat că actualizarea firmware-ului AMI defectuos nu ar trebui să fie prea deranjantă dacă mediile fie și-au automatizat corecțiile, fie dacă au configurat ethernet-uri compatibile cu BMC, utilizate pentru administrarea în afara bandă, pentru a utiliza o rețea dedicată.
În timp ce utilizatorii de Twitter au fost în general tăcuți la știri, un utilizator numit Secure ICS OT, care tweetează ICS și tweet-uri legate de securitate ICS, a comentat: „Râde în rețeaua izolată la locație”, sugerând că acesta este cel mai bun mod de a rămâne în siguranță. Pe Reddit, utilizatorii au fost mai vorbăreți, un utilizator a minimizat importanța descoperirilor: „Nu este atât de rău pe cât pare. Câte locuri au BMC deschis la net? Dacă au acces, oricum sunt deja în rețea ta și ai probleme mai mari”, au spus ei.
„Aș presupune că majoritatea centrelor de date au BMC-uri, iDRAC-uri, controlere ciclului de viață etc. pe un VLAN de gestionare, deci au un anumit nivel de protecție”, a adăugat un alt utilizator. „Pe de altă parte, există 1.8 miliarde de întreprinderi mici care rulează un Dell T450 pe 192.168.1.x.”
Mergi mai adânc
Dacă doriți să aflați mai multe despre defecte, asigurați-vă că citiți articolul nostru original despre încălcarea datelor GIGABYTE , precum și explicatorul nostru despre toate lucrurile Ransomware . Atunci asigurați-vă că citiți ghidul nostru detaliat despre cea mai bună protecție ransomware , și cele mai bune firewall-uri .