Cumpagnia Eclypsium duie vulnerabili in u firmware di u controller BMC speditu cù Lenovo ThinkServers chì permettenu à un utilizatore locale per cambià u firmware o eseguisce codice arbitrariu à u latu di u chip BMC.
Ulteriore analisi hà dimustratu chì sti prublemi anu ancu affettanu u firmware di i cuntrolli BMC utilizati in e plataforme di servitori Gigabyte Enterprise Servers, chì sò ancu usati in i servitori di cumpagnie cum'è Acer, AMAX, Bigtera, Ciara, Penguin Computing è sysGen. I BMC problematici anu utilizatu firmware MergePoint EMS vulnerabile sviluppatu da u venditore terzu Avocent (ora una divisione di Vertiv).
A prima vulnerabilità hè causata da a mancanza di verificazione criptografica di l'aghjurnamenti di firmware scaricati (solu a verificazione di checksum CRC32 hè usata, contru à NIST per aduprà signature digitale), chì permette à un attaccante cù accessu lucale à u sistema per cambià u firmware BMC. U prublema, per esempiu, pò esse usatu per integrà profondamente un rootkit chì ferma attivu dopu a reinstallazione di u sistema upirativu è bluccà più aghjurnamenti di firmware (per eliminà u rootkit, avete bisognu di utilizà un programatore per riscrive u SPI flash).
A seconda vulnerabilità hè presente in u codice di l'aghjurnamentu di u firmware è permette a sustituzione di cumandamenti persunalizati chì saranu eseguiti in u BMC cù u più altu livellu di privilegi. Per attaccà, hè abbastanza per cambià u valore di u paràmetru RemoteFirmwareImageFilePath in u schedariu di cunfigurazione bmcfwu.cfg, per quale u percorsu à l'imaghjini di u firmware aghjurnatu hè determinatu. Durante a prossima aghjurnamentu, chì pò esse iniziatu da un cumandamentu in IPMI, stu paràmetru serà processatu da u BMC è utilizatu cum'è parte di a chjama popen () cum'è parte di a stringa per /bin/sh. Siccomu a stringa per furmà u cumandamentu di shell hè creata utilizendu a chjama snprintf () senza scappamentu propiu di caratteri speciali, l'attaccanti ponu rimpiazzà u so propiu codice per l'esekzione. Per sfruttà a vulnerabilità, avete bisognu di diritti chì permettenu di mandà un cumandamentu via IPMI à u controller BMC (se avete diritti di amministratore nantu à u servitore, pudete mandà un cumandamentu IPMI senza autentificazione supplementu).
Gigabyte è Lenovo eranu cunuscenti di i prublemi in lugliu 2018 è anu publicatu aghjurnamenti prima di a divulgazione publica. Lenovo l'aghjurnamenti di firmware u 15 di nuvembre di u 2018 per i servitori ThinkServer RD340, TD340, RD440, RD540 è RD640, ma solu solu una vulnerabilità in elli chì permette a sustituzione di cumandamenti, postu chì durante a creazione di una linea di servitori basati in MergePoint EMS in 2014, verificazione. di firmware per firma digitale ùn era micca ancu largamente distribuitu è ùn era micca annunziatu inizialmente.
L'8 di maghju di questu annu, Gigabyte hà publicatu l'aghjurnamenti di firmware per e schede madri cù u controller ASPEED AST2500, ma cum'è Lenovo, solu solu solu a vulnerabilità di sustituzzioni di cumandamenti. I bordi vulnerabili basati in ASPEED AST2400 ùn sò micca aghjurnati. gigabyte ancu circa a transizione à l'usu di firmware MegaRAC SP-X da AMI. Includendu un novu firmware basatu in MegaRAC SP-X serà offertu per i sistemi furniti prima cù firmware MergePoint EMS. A decisione hè stata presa dopu à l'annunziu di Vertiv per finisce u supportu per a piattaforma MergePoint EMS. À u listessu tempu, nunda ùn hè statu infurmatu annantu à l'aghjurnamentu di u firmware nantu à i servitori fabbricati da Acer, AMAX, Bigtera, Ciara, Penguin Computing è sysGen basatu nantu à schede Gigabyte è equipati di firmware MergePoint EMS vulnerabile.
Ricurdativi chì BMC hè un controller specializatu installatu in i servitori chì hà u so propiu CPU, memoria, almacenamiento è interfacce di sondaghju di sensori, chì furnisce una interfaccia di livellu bassu per monitorizà è cuntrullà u hardware di u servitore. Cù l'aiutu di BMC, a priscinniri di u sistema upirativu in esecuzione nantu à u servitore, pudete monitorà u statutu di i sensori, gestisce a putenza, u firmware è i dischi, urganizà u boot remota nantu à a reta, assicurà u funziunamentu di a cunsola d'accessu remota, etc.
Source: opennet.ru