Společnost Eclypsium dvě zranitelnosti ve firmwaru řadiče BMC dodávaného se servery Lenovo ThinkServer, které umožňují místnímu uživateli změnit firmware nebo spustit libovolný kód na straně čipu BMC.
Další analýza ukázala, že tyto problémy ovlivňují také firmware řadičů BMC používaných v serverových platformách Gigabyte Enterprise Servers, které jsou také používány v serverech společností jako Acer, AMAX, Bigtera, Ciara, Penguin Computing a sysGen. Problémové BMC používaly zranitelný firmware MergePoint EMS vyvinutý dodavatelem třetí strany Avocent (nyní divize Vertiv).
První zranitelnost je způsobena chybějícím kryptografickým ověřením stažených aktualizací firmwaru (používá se pouze ověření kontrolního součtu CRC32, na rozdíl od NIST používat digitální podpisy), což umožňuje útočníkovi s místním přístupem do systému změnit firmware BMC. Problém lze například využít k hluboké integraci rootkitu, který po přeinstalaci operačního systému zůstává aktivní a blokuje další aktualizace firmwaru (k odstranění rootkitu budete muset použít programátor, který přepíše SPI flash).
Druhá chyba zabezpečení je přítomna v kódu aktualizace firmwaru a umožňuje nahrazení vlastních příkazů, které budou prováděny v BMC s nejvyšší úrovní oprávnění. K útoku stačí změnit hodnotu parametru RemoteFirmwareImageFilePath v konfiguračním souboru bmcfwu.cfg, přes který se určí cesta k obrazu aktualizovaného firmwaru. Během příští aktualizace, kterou lze spustit příkazem v IPMI, bude tento parametr zpracován BMC a použit jako součást volání popen() jako součást řetězce pro /bin/sh. Vzhledem k tomu, že řetězec tvořící příkaz shellu je vytvořen pomocí volání snprintf() bez řádného escape speciálních znaků, mohou útočníci nahradit provedení svým vlastním kódem. Chcete-li tuto chybu zabezpečení zneužít, musíte mít práva, která vám umožní odeslat příkaz přes IPMI do řadiče BMC (pokud máte na serveru práva správce, můžete odeslat příkaz IPMI bez dalšího ověřování).
Společnosti Gigabyte a Lenovo si byly těchto problémů vědomy již v červenci 2018 a vydaly aktualizace před zveřejněním. Lenovo aktualizace firmwaru 15. listopadu 2018 pro servery ThinkServer RD340, TD340, RD440, RD540 a RD640, ale pouze eliminovaly zranitelnost v nich, která umožňuje nahrazení příkazů, protože při vytváření řady serverů založených na MergePoint EMS v roce 2014 nebylo dosud oznámeno rozsáhlé ověřování digitálního podpisu firmwaru.
Gigabyte vydal 8. května tohoto roku aktualizace firmwaru pro základní desky s řadičem ASPEED AST2500, ale stejně jako Lenovo pouze opravil zranitelnost při substituci příkazů. Zranitelné desky založené na ASPEED AST2400 ještě nejsou aktualizovány. gigabajt také o přechodu na používání firmwaru MegaRAC SP-X od AMI. Včetně nového firmwaru založeného na MegaRAC SP-X bude nabízeno pro systémy dříve dodávané s firmwarem MergePoint EMS. Rozhodnutí padlo po oznámení Vertivu o ukončení podpory platformy MergePoint EMS. Zároveň nebylo hlášeno nic o aktualizaci firmwaru na serverech vyrobených společnostmi Acer, AMAX, Bigtera, Ciara, Penguin Computing a sysGen založených na deskách Gigabyte a vybavených zranitelným firmwarem MergePoint EMS.
Připomeňme, že BMC je specializovaný řadič instalovaný na serverech, který má vlastní CPU, paměť, úložiště a rozhraní dotazování senzorů, což poskytuje nízkoúrovňové rozhraní pro monitorování a řízení serverového hardwaru. S pomocí BMC můžete bez ohledu na operační systém běžící na serveru sledovat stav senzorů, spravovat napájení, firmware a disky, organizovat vzdálené spouštění po síti, zajišťovat provoz konzoly vzdáleného přístupu atd.
Zdroj: opennet.ru