Các nhà nghiên cứu an ninh mạng từ Eclypsium đã phát hiện ra hai lỗ hổng nghiêm trọng trong phần mềm AMI MegaRAC Baseboard Management Controller (BMC).
Phần mềm này được thiết kế để cung cấp cho các nhóm CNTT toàn quyền truy cập vào các máy chủ của trung tâm đám mây, cho phép họ cài đặt lại hệ điều hành, quản lý appsvà quản lý các điểm cuối ngay cả khi chúng bị tắt. Theo tiếng lóng của ngành, phần mềm này cho phép quản lý hệ thống từ xa “ngoài băng tần” và “tắt đèn”.
Hai lỗ hổng được theo dõi là CVE-2023-34329 (bỏ qua xác thực thông qua giả mạo tiêu đề HTTP) với mức độ nghiêm trọng là 9.9 và CVE-2023-34330 (chèn mã qua giao diện Dynamic Redfish Extension) với mức độ nghiêm trọng là 8.2. Bằng cách xâu chuỗi các lỗ hổng này, các tác nhân đe dọa có thể sử dụng giao diện quản lý từ xa của Redfish và có được khả năng thực thi mã từ xa trên các máy chủ dễ bị tấn công. Với mức độ phổ biến của công cụ này, điều này có thể có nghĩa là hàng triệu máy chủ, vì phần sụn dễ bị tổn thương được sử dụng bởi một số nhà sản xuất máy chủ lớn nhất thế giới phục vụ các nhà cung cấp trung tâm dữ liệu và dịch vụ đám mây cấu hình cao: AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo , Nvidia, Qualcomm, HPE, Huawei, v.v.
Các nhà nghiên cứu cho biết khả năng phá hoại là khá lớn vì các tác nhân đe dọa có thể có quyền truy cập vào dữ liệu nhạy cảm, cài đặt ransomware, trojan hoặc thậm chí làm hỏng máy chủ bằng cách đặt chúng vào vòng lặp khởi động lại không ngừng nghỉ không ngừng.
Các nhà nghiên cứu đã cảnh báo trong bài viết của họ: “Chúng tôi cũng cần nhấn mạnh rằng một bộ cấy ghép như vậy có thể cực kỳ khó phát hiện và cực kỳ dễ tái tạo đối với bất kỳ kẻ tấn công nào dưới dạng khai thác một dòng”.
Kể từ đó, một bản vá đã được cung cấp bởi AMI, người đã khuyên khách hàng của mình áp dụng nó ngay lập tức, vì đó là cách tốt nhất để bảo vệ khỏi sự xâm phạm tiềm tàng.
Phân tích: Tại sao nó lại quan trọng?
Các lỗ hổng quan trọng do tiềm năng phá hoại to lớn của chúng. Vì những thứ này được tìm thấy trong một nhà cung cấp linh kiện phần cứng, chúng có thể chảy xuống nhiều nhà cung cấp dịch vụ đám mây, ảnh hưởng đến vô số tổ chức. Các lỗ hổng như hai lỗ hổng này tương đương với việc đánh vào mạch mẹ của các cuộc tấn công chuỗi cung ứng.
Mọi chuyện bắt đầu vào khoảng hai năm trước khi một tác nhân đe dọa có tên là RansomEXX đã xâm phạm các điểm cuối thuộc về gã khổng lồ phần cứng máy tính GIGABYTE. Những kẻ lừa đảo đã đánh cắp hơn 100 gigabyte dữ liệu nhạy cảm, bao gồm thông tin thuộc về Intel, AMD và AMI. Dữ liệu sau đó đã bị rò rỉ lên dark web, nơi nó được các nhà nghiên cứu an ninh mạng từ Eclypsium (cũng như những người khác và có thể – nhiều tác nhân độc hại) thu thập.
Các nhà nghiên cứu đã phát hiện ra hai zero-day đã ẩn giấu trong dữ liệu trong nhiều năm. Nó bao gồm việc sử dụng giao diện quản lý từ xa của Redfish để đạt được khả năng thực thi mã từ xa. Redfish, Ars Technica giải thích trong bài viết của mình, với tư cách là người kế thừa các nhà cung cấp IPMI truyền thống và cung cấp tiêu chuẩn API để quản lý cơ sở hạ tầng máy chủ và cơ sở hạ tầng khác cần thiết cho các trung tâm dữ liệu ngày nay. Thực tế, nó được hỗ trợ bởi tất cả các nhà cung cấp cơ sở hạ tầng và máy chủ cũng như dự án chương trình cơ sở OpenBMC.
Các lỗ hổng được tìm thấy trong BMC – phần mềm Baseboard Management Controller. Những quản trị viên này cấp trạng thái "chế độ thần thánh" trên các máy chủ mà họ quản lý. Theo Ars Technica, AMI là nhà cung cấp BMC và phần sụn BMC hàng đầu, đồng thời cung cấp dịch vụ cho nhiều nhà cung cấp phần cứng và nhà cung cấp dịch vụ đám mây, bao gồm cả những tên tuổi lớn nhất trong gia đình.
Các nhà nghiên cứu cũng nói thêm rằng sau khi phân tích mã nguồn có sẵn công khai, họ có thể tìm thấy các lỗ hổng và viết phần mềm độc hại, tuyên bố rằng bất kỳ tác nhân độc hại nào ngoài đó cũng có thể làm điều tương tự. Ngay cả khi họ không có quyền truy cập vào mã nguồn, họ vẫn có thể xác định các lỗ hổng bằng cách giải mã các hình ảnh chương trình cơ sở của MBC. Tin tốt là vẫn chưa có bằng chứng cho thấy ai đó đã làm điều đó.
Những người khác đã nói gì về những sai sót?
Đối với HD Moore, CTO và đồng sáng lập tại runZero, điều quan trọng hiện nay là các khách hàng có khả năng bị ảnh hưởng phải vá hệ thống của họ ngay lập tức: “Chuỗi tấn công được xác định bởi Eclypsium cho phép kẻ tấn công từ xa hoàn toàn và có thể xâm phạm vĩnh viễn các BMC MegaRAC dễ bị tổn thương,” ông nói. “Cuộc tấn công này sẽ đáng tin cậy 100% và khó bị phát hiện sau khi thực tế xảy ra.”
Anh ấy nói thêm rằng việc cập nhật chương trình cơ sở AMI bị lỗi sẽ không quá rắc rối nếu môi trường đã tự động vá lỗi hoặc nếu họ đã định cấu hình ethernet hỗ trợ BMC, được sử dụng để quản trị ngoài băng tần, để sử dụng mạng chuyên dụng.
Mặc dù người dùng Twitter thường im lặng trước tin tức này, nhưng một người dùng có tên Secure ICS OT, người đã tweet các tweet liên quan đến bảo mật của ICS và ICS, đã nhận xét: “Cười trong mạng bị cô lập tại chỗ,” gợi ý rằng đó là cách tốt nhất để giữ an toàn. Trên Reddit, người dùng nói nhiều hơn, với một người dùng hạ thấp tầm quan trọng của những phát hiện: “Điều này không tệ như nó có vẻ. Có bao nhiêu nơi có BMC của họ mở mạng? Nếu họ có quyền truy cập thì dù sao họ cũng đã ở trên mạng của bạn và bạn gặp vấn đề lớn hơn,” họ nói.
“Tôi cho rằng hầu hết các trung tâm dữ liệu đều có BMC, iDRAC, bộ điều khiển vòng đời, v.v. trên một VLAN quản lý, vì vậy chúng có một số mức độ bảo vệ,” một người dùng khác nói thêm. “Mặt khác, có 1.8 tỷ tỷ doanh nghiệp nhỏ đang chạy một chiếc Dell T450 trên 192.168.1.x.”
Đi sâu hơn
Nếu bạn muốn tìm hiểu thêm về các sai sót, hãy nhớ đọc bài viết gốc của chúng tôi về GIGABYTE vi phạm dữ liệu , cũng như người giải thích của chúng tôi về vạn vật ransomware . Sau đó, đảm bảo đọc hướng dẫn chuyên sâu của chúng tôi về bảo vệ ransomware tốt nhất và tường lửa tốt nhất .