Eclypsium Company dve ranjivosti u firmveru BMC kontrolera koji se isporučuje na Lenovo ThinkServer serverima, omogućavajući lokalnom korisniku da promeni firmver ili izvrši proizvoljan kod na strani BMC čipa.
Dalja analiza je pokazala da ovi problemi utiču i na firmver BMC kontrolera koji se koristi u serverskim platformama Gigabyte Enterprise Servers, a koji se takođe koriste u serverima kompanija kao što su Acer, AMAX, Bigtera, Ciara, Penguin Computing i sysGen. Problematični BMC kontroleri koristili su ranjivi MergePoint EMS firmver koji je razvio Avocent treće strane (sada odjel Vertiva).
Prva ranjivost je uzrokovana nedostatkom kriptografske provjere preuzetih ažuriranja firmvera (koristi se samo CRC32 provjera kontrolne sume, naprotiv NIST koristi digitalne potpise), što omogućava napadaču s lokalnim pristupom sistemu da lažira BMC firmver. Problem se, na primjer, može koristiti za dubinu integraciju rootkita koji ostaje aktivan nakon ponovne instalacije operativnog sistema i blokira daljnja ažuriranja firmvera (da biste eliminirali rootkit, morat ćete koristiti programator za ponovno pisanje SPI fleš).
Druga ranjivost je prisutna u kodu za ažuriranje firmvera i omogućava vam da zamijenite svoje vlastite komande, koje će se izvršavati u BMC-u s najvišim nivoom privilegija. Za napad je dovoljno promijeniti vrijednost parametra RemoteFirmwareImageFilePath u konfiguracijskoj datoteci bmcfwu.cfg, preko koje se određuje put do slike ažuriranog firmvera. Tokom sljedećeg ažuriranja, koje se može pokrenuti naredbom u IPMI-ju, ovaj parametar će obraditi BMC i koristiti ga kao dio poziva popen() kao dio linije za /bin/sh. Pošto je linija za generisanje naredbe ljuske kreirana pomoću poziva snprintf() bez odgovarajućeg čišćenja specijalnih znakova, napadači mogu zamijeniti svoj kod za izvršenje. Da biste iskoristili ranjivost, morate imati prava koja vam omogućavaju da pošaljete naredbu BMC kontroleru putem IPMI-ja (ako imate administratorska prava na serveru, možete poslati IPMI naredbu bez dodatne provjere autentičnosti).
Gigabyte i Lenovo su obaviješteni o problemima još u julu 2018. i uspjeli su objaviti ažuriranja prije nego što su informacije javno objavljene. Kompanija Lenovo ažuriranje firmvera 15. novembra 2018. za servere ThinkServer RD340, TD340, RD440, RD540 i RD640, ali je samo eliminisana ranjivost na njima koja omogućava zamjenu komandi, jer je prilikom kreiranja linije servera baziranih na MergePoint EMS firmware-u 2014. provjera izvršena korištenjem digitalnog potpisa još nije bila rasprostranjena i nije prvobitno najavljena.
Gigabyte je 8. maja ove godine objavio ažuriranja firmvera za matične ploče sa ASPEED AST2500 kontrolerom, ali je kao i Lenovo popravio samo ranjivost zamjene komandi. Ranjive ploče zasnovane na ASPEED AST2400 za sada ostaju bez ažuriranja. Gigabyte takođe o prelasku na korištenje MegaRAC SP-X firmvera iz AMI-ja. Uključujući novi firmver baziran na MegaRAC SP-X biće ponuđen za sisteme koji su prethodno bili isporučeni sa MergePoint EMS firmverom. Odluka je uslijedila nakon Vertivove najave da više neće podržavati MergePoint EMS platformu. Istovremeno, još ništa nije prijavljeno o ažuriranjima firmvera na serverima proizvođača Acer, AMAX, Bigtera, Ciara, Penguin Computing i sysGen baziranim na Gigabyte pločama i opremljenim ranjivim MergePoint EMS firmverom.
Podsjetimo da je BMC specijalizirani kontroler instaliran u serverima koji ima vlastitu CPU, memoriju, skladište i senzorske sučelje za prozivanje, koji pruža niskorazinski interfejs za praćenje i kontrolu hardvera servera. Uz pomoć BMC-a, bez obzira na operativni sistem koji radi na serveru, možete pratiti status senzora, upravljati napajanjem, firmverom i diskovima, organizirati daljinsko pokretanje preko mreže, osigurati rad konzole za daljinski pristup itd.
izvor: opennet.ru