Companyia Eclypsium dues vulnerabilitats del microprogramari del controlador BMC enviat amb Lenovo ThinkServers que permeten a un usuari local canviar el microprogramari o executar codi arbitrari al costat del xip BMC.
Una anàlisi posterior va demostrar que aquests problemes també afecten el microprogramari dels controladors BMC utilitzats a les plataformes de servidors Gigabyte Enterprise Servers, que també s'utilitzen en servidors d'empreses com Acer, AMAX, Bigtera, Ciara, Penguin Computing i sysGen. Els BMC problemàtics van utilitzar el firmware MergePoint EMS vulnerable desenvolupat pel proveïdor de tercers Avocent (ara una divisió de Vertiv).
La primera vulnerabilitat és causada per la manca de verificació criptogràfica de les actualitzacions de microprogramari descarregades (només s'utilitza la verificació de suma de comprovació CRC32, contràriament a NIST per utilitzar signatures digitals), que permet a un atacant amb accés local al sistema canviar el microprogramari BMC. El problema, per exemple, es pot utilitzar per integrar profundament un rootkit que roman actiu després de reinstal·lar el sistema operatiu i bloqueja més actualitzacions de microprogramari (per eliminar el rootkit, haureu d'utilitzar un programador per reescriure el flash SPI).
La segona vulnerabilitat està present al codi d'actualització del microprogramari i permet la substitució d'ordres personalitzades que s'executaran al BMC amb el nivell més alt de privilegis. Per atacar, n'hi ha prou amb canviar el valor del paràmetre RemoteFirmwareImageFilePath al fitxer de configuració bmcfwu.cfg, a través del qual es determina el camí a la imatge del microprogramari actualitzat. Durant la propera actualització, que es pot iniciar mitjançant una ordre a l'IPMI, aquest paràmetre serà processat pel BMC i s'utilitzarà com a part de la crida popen() com a part de la cadena de /bin/sh. Com que la cadena per formar l'ordre de l'intèrpret d'ordres es crea mitjançant la crida snprintf() sense l'escapada adequada de caràcters especials, els atacants poden substituir el seu propi codi per a l'execució. Per explotar la vulnerabilitat, heu de tenir drets que us permetin enviar una ordre mitjançant IPMI al controlador BMC (si teniu drets d'administrador al servidor, podeu enviar una ordre IPMI sense autenticació addicional).
Gigabyte i Lenovo eren conscients dels problemes ja el juliol de 2018 i van publicar actualitzacions abans de la divulgació pública. Lenovo actualitzacions de firmware el 15 de novembre de 2018 per als servidors ThinkServer RD340, TD340, RD440, RD540 i RD640, però només es va eliminar una vulnerabilitat en ells que permet la substitució d'ordres, ja que durant la creació d'una línia de servidors basada en MergePoint EMS el 2014, la verificació de la signatura digital del firmware encara no es va anunciar inicialment.
El 8 de maig d'aquest any, Gigabyte va llançar actualitzacions de firmware per a plaques base amb el controlador ASPEED AST2500, però com Lenovo, només van solucionar la vulnerabilitat de substitució d'ordres. Els taulers vulnerables basats en ASPEED AST2400 encara no s'han actualitzat. gigabyte també sobre la transició a l'ús del firmware MegaRAC SP-X d'AMI. S'oferirà un nou microprogramari basat en MegaRAC SP-X per als sistemes subministrats anteriorment amb el microprogramari MergePoint EMS. La decisió es va prendre després de l'anunci de Vertiv de posar fi al suport per a la plataforma MergePoint EMS. Al mateix temps, no s'ha informat res sobre l'actualització del microprogramari en servidors fabricats per Acer, AMAX, Bigtera, Ciara, Penguin Computing i sysGen basats en plaques Gigabyte i equipats amb firmware MergePoint EMS vulnerable.
Recordem que BMC és un controlador especialitzat instal·lat en servidors que té la seva pròpia CPU, memòria, emmagatzematge i interfícies de sondeig de sensors, que proporciona una interfície de baix nivell per supervisar i controlar el maquinari del servidor. Amb l'ajuda de BMC, independentment del sistema operatiu que s'executi al servidor, podeu controlar l'estat dels sensors, gestionar l'alimentació, el microprogramari i els discs, organitzar l'arrencada remota a la xarxa, assegurar el funcionament de la consola d'accés remot, etc.
Font: opennet.ru