Уязвимост във фърмуера на BMC контролери, засягащи сървъри на много производители

Компания Еклипсиум разкри две уязвимости във фърмуера на BMC контролера, доставен с Lenovo ThinkServers, които позволяват на локален потребител да промени фърмуера или да изпълни произволен код от страната на BMC чипа.

Допълнителен анализ показа, че тези проблеми също засягат фърмуера на BMC контролерите, използвани в сървърните платформи на Gigabyte Enterprise Servers, които също се използват в сървъри от компании като Acer, AMAX, Bigtera, Ciara, Penguin Computing и sysGen. Проблемните BMC използват уязвим фърмуер на MergePoint EMS, разработен от трета страна доставчик Avocent (сега подразделение на Vertiv).

Първата уязвимост е причинена от липсата на криптографска проверка на изтеглените актуализации на фърмуера (използва се само проверка на контролна сума CRC32, за разлика от препоръки NIST за използване на цифрови подписи), което позволява на атакуващ с локален достъп до системата да промени фърмуера на BMC. Проблемът, например, може да се използва за дълбоко интегриране на руткит, който остава активен след преинсталиране на операционната система и блокира по-нататъшни актуализации на фърмуера (за да елиминирате руткита, ще трябва да използвате програмист, за да пренапишете SPI флаш).

Втората уязвимост присъства в кода за актуализация на фърмуера и позволява замяна на персонализирани команди, които ще бъдат изпълнени в BMC с най-високо ниво на привилегии. За да атакувате, е достатъчно да промените стойността на параметъра RemoteFirmwareImageFilePath в конфигурационния файл bmcfwu.cfg, чрез който се определя пътя до изображението на актуализирания фърмуер. По време на следващата актуализация, която може да бъде инициирана от команда в IPMI, този параметър ще бъде обработен от BMC и използван като част от извикването popen() като част от низа за /bin/sh. Тъй като низът за формиране на командата на обвивката се създава с помощта на извикването snprintf() без правилно отстраняване на специални знаци, нападателите могат да заменят своя собствен код за изпълнение. За да използвате уязвимостта, трябва да имате права, които ви позволяват да изпратите команда през IPMI към BMC контролера (ако имате администраторски права на сървъра, можете да изпратите IPMI команда без допълнително удостоверяване).

Gigabyte и Lenovo бяха наясно с проблемите още през юли 2018 г. и пуснаха актуализации преди публичното оповестяване. Lenovo освободен актуализации на фърмуера на 15 ноември 2018 г. за сървърите ThinkServer RD340, TD340, RD440, RD540 и RD640, но коригираха само уязвимост в тях, която позволява заместване на команди, тъй като по време на създаването на линия от сървъри, базирани на MergePoint EMS през 2014 г., проверката на фърмуер чрез цифров подпис все още не беше широко разпространен и не беше първоначално обявен.

На 8 май тази година Gigabyte пусна актуализации на фърмуера за дънни платки с контролера ASPEED AST2500, но подобно на Lenovo, те поправиха само уязвимостта при заместване на команди. Уязвимите платки, базирани на ASPEED AST2400, все още не са актуализирани. гигабайт също каза относно прехода към използването на фърмуер MegaRAC SP-X от AMI. Включително нов фърмуер, базиран на MegaRAC SP-X, ще бъде предложен за системи, доставяни преди това с фърмуер MergePoint EMS. Решението беше взето след съобщението на Vertiv за прекратяване на поддръжката за платформата MergePoint EMS. В същото време не се съобщава нищо за актуализиране на фърмуера на сървъри, произведени от Acer, AMAX, Bigtera, Ciara, Penguin Computing и sysGen, базирани на платки Gigabyte и оборудвани с уязвим фърмуер MergePoint EMS.

Спомнете си, че BMC е специализиран контролер, инсталиран в сървъри, който има собствен CPU, памет, съхранение и интерфейси за анкетиране на сензори, който осигурява интерфейс от ниско ниво за наблюдение и контрол на сървърния хардуер. С помощта на BMC, независимо от операционната система, работеща на сървъра, можете да наблюдавате състоянието на сензорите, да управлявате захранването, фърмуера и дисковете, да организирате отдалечено зареждане по мрежата, да осигурите работата на конзолата за отдалечен достъп и др.

Източник: opennet.ru