Eclypsium Company to sårbarheder i firmwaren på BMC-controlleren, der blev leveret med Lenovo ThinkServers, som giver en lokal bruger mulighed for at ændre firmwaren eller udføre vilkårlig kode på siden af BMC-chippen.
Yderligere analyser viste, at disse problemer også påvirker firmwaren af BMC-controllere, der bruges i Gigabyte Enterprise Servers serverplatforme, som også bruges i servere fra virksomheder som Acer, AMAX, Bigtera, Ciara, Penguin Computing og sysGen. De problematiske BMC'er brugte sårbar MergePoint EMS-firmware udviklet af tredjepartsleverandøren Avocent (nu en afdeling af Vertiv).
Den første sårbarhed er forårsaget af manglen på kryptografisk verifikation af downloadede firmwareopdateringer (kun CRC32 checksum-verifikation bruges i modsætning til NIST til at bruge digitale signaturer), hvilket giver en hacker med lokal adgang til systemet mulighed for at ændre BMC-firmwaren. Problemet kan for eksempel bruges til dybt at integrere et rootkit, der forbliver aktivt efter geninstallation af operativsystemet og blokerer for yderligere firmwareopdateringer (for at eliminere rootkittet skal du bruge en programmør til at omskrive SPI-flashen).
Den anden sårbarhed er til stede i firmwareopdateringskoden og tillader substitution af brugerdefinerede kommandoer, der vil blive udført i BMC'en med det højeste niveau af privilegier. For at angribe er det nok at ændre værdien af RemoteFirmwareImageFilePath-parameteren i bmcfwu.cfg-konfigurationsfilen, hvorigennem stien til billedet af den opdaterede firmware bestemmes. Under den næste opdatering, som kan startes af en kommando i IPMI, vil denne parameter blive behandlet af BMC'en og brugt som en del af popen()-kaldet som en del af strengen for /bin/sh. Da strengen til at danne shell-kommandoen er oprettet ved hjælp af snprintf()-kaldet uden korrekt escape af specialtegn, kan angribere erstatte deres egen kode for eksekvering. For at udnytte sårbarheden skal du have rettigheder, der giver dig mulighed for at sende en kommando via IPMI til BMC-controlleren (hvis du har administratorrettigheder på serveren, kan du sende en IPMI-kommando uden yderligere godkendelse).
Gigabyte og Lenovo var opmærksomme på problemerne allerede i juli 2018 og udgav opdateringer forud for offentligheden. Lenovo firmwareopdateringer den 15. november 2018 til ThinkServer RD340-, TD340-, RD440-, RD540- og RD640-serverne, men rettet kun en sårbarhed i dem, der tillader kommandoerstatning, da der under oprettelsen af en linje af servere baseret på MergePoint EMS i 2014, verifikation af firmware med digital signatur var endnu ikke bredt distribueret og blev ikke oprindeligt annonceret.
Den 8. maj i år udgav Gigabyte firmwareopdateringer til bundkort med ASPEED AST2500-controlleren, men ligesom Lenovo løste de kun kommandoerstatningssårbarheden. Sårbare tavler baseret på ASPEED AST2400 er endnu ikke opdateret. også gigabyte om overgangen til brug af firmware MegaRAC SP-X fra AMI. Inklusiv ny firmware baseret på MegaRAC SP-X vil blive tilbudt til systemer, der tidligere er leveret med MergePoint EMS firmware. Beslutningen blev truffet efter Vertivs meddelelse om at stoppe supporten til MergePoint EMS-platformen. Samtidig er der ikke rapporteret noget om opdatering af firmware på servere fremstillet af Acer, AMAX, Bigtera, Ciara, Penguin Computing og sysGen baseret på Gigabyte-kort og udstyret med sårbar MergePoint EMS-firmware.
Husk på, at BMC er en specialiseret controller installeret i servere, som har sin egen CPU, hukommelse, lagring og sensor polling-grænseflader, som giver en lav-niveau-grænseflade til overvågning og styring af serverhardware. Ved hjælp af BMC, uanset hvilket operativsystem der kører på serveren, kan du overvåge status for sensorer, administrere strøm, firmware og diske, organisere fjernopstart over netværket, sikre driften af fjernadgangskonsollen osv.
Kilde: opennet.ru