Eine Schwachstelle in den Firmware von BMC-Controllern, die Server vieler Hersteller betrifft

Das Unternehmen Eclypsium hat zwei Schwachstellen in der Firmware des BMC-Controllers, der in Lenovo ThinkServern verbaut wird, die es einem lokalen Benutzer ermöglichen, die Firmware zu ersetzen oder beliebigen Code auf dem BMC-Chip auszuführen.

Eine weitere Analyse ergab, dass diese Probleme auch die Firmware der BMC-Controller betreffen, die in Gigabyte Enterprise Servers verwendet werden, die auch in Servern von Unternehmen wie Acer, AMAX, Bigtera, Ciara, Penguin Computing und sysGen eingesetzt werden. In den betroffenen BMC-Controllern kamen verwundbare MergePoint EMS-Firmwares zum Einsatz, die von dem Drittanbieter Avocent (jetzt eine Tochtergesellschaft von Vertiv) entwickelt wurden.

Die erste Schwachstelle resultiert aus dem Fehlen einer kryptografischen Verifizierung der heruntergeladenen Firmware-Updates (es wird nur eine CRC32-Prüfziffer verwendet, entgegen den Best Practices) Empfehlungen NIST verwendet digitale Signaturen, was einem Angreifer mit lokalem Zugriff auf das System ermöglicht, die BMC-Firmware zu manipulieren. Dieses Problem könnte beispielsweise zur tiefen Integration eines Rootkits genutzt werden, das nach der Neuinstallation des Betriebssystems aktiv bleibt und spätere Firmware-Updates blockiert (zum Entfernen des Rootkits ist ein Programmierer erforderlich, um den SPI-Flash neu zu schreiben).

Die zweite Schwachstelle befindet sich im Code des Firmware-Updates und ermöglicht die Einspeisung eigener Befehle, die mit den höchsten Privilegien im BMC ausgeführt werden. Für einen Angriff genügt es, den Wert des Parameters RemoteFirmwareImageFilePath in der Konfigurationsdatei bmcfwu.cfg zu ändern, über den der Pfad zum aktualisierten Firmware-Image definiert wird. Während eines weiteren Updates, das durch einen Befehl im IPMI initiiert werden kann, wird dieser Parameter vom BMC verarbeitet und als Teil des Aufrufs von popen() in die Zeichenfolge für /bin/sh eingefügt. Da die Zeichenfolge zur Erstellung des Shell-Befehls mit dem Aufruf von snprintf() ohne angemessene Bereinigung von Sonderzeichen erstellt wird, können Angreifer ihren eigenen Code zur Ausführung einspeisen. Zum Ausnutzen der Schwachstelle sind Berechtigungen erforderlich, die es erlauben, über IPMI einen Befehl an den BMC-Controller zu senden (mit Administratorrechten auf dem Server kann der IPMI-Befehl ohne zusätzliche Authentifizierung gesendet werden).

Die Unternehmen Gigabyte und Lenovo wurden bereits im Juli 2018 über die Probleme informiert und konnten Updates vor der öffentlichen Bekanntgabe herausbringen. Das Unternehmen Lenovo die Am 15. November 2018 wurden Firmware-Updates für die ThinkServer RD340, TD340, RD440, RD540 und RD640 veröffentlicht, die jedoch nur eine Schwachstelle behoben, die eine Befehlsinjektion ermöglichte. Während der Entwicklung der Serverreihe auf Basis des MergePoint EMS im Jahr 2014 war die Verifizierung von Firmwares durch digitale Signaturen noch nicht weit verbreitet und wurde ursprünglich nicht angekündigt.

Am 8. Mai dieses Jahres veröffentlichte Gigabyte Firmware-Updates für Motherboards mit dem ASPEED AST2500-Controller. Ähnlich wie Lenovo wurden jedoch nur die Schwachstellen im Zusammenhang mit der Befehlsinjektion behoben. Die anfälligen Platinen auf Basis des ASPEED AST2400 bleiben bislang ohne Update. Gigabyte hat auch äußerte den Wechsel zu MegaRAC SP-X-Firmwares von AMI bekannt gegeben. Auch neue Firmware basierend auf MegaRAC SP-X wird für Systeme angeboten, die zuvor mit MergePoint EMS-Firmwares geliefert wurden. Diese Entscheidung fiel nach der Ankündigung von Vertiv, die Unterstützung für die MergePoint EMS-Plattform einzustellen. In Bezug auf Firmware-Updates für Server, die von den Unternehmen Acer, AMAX, Bigtera, Ciara, Penguin Computing und sysGen auf Basis von Gigabyte-Platinen mit anfälligen MergePoint EMS-Firmwares hergestellt werden, wurde bisher jedoch nichts bekannt gegeben.

Zur Erinnerung: BMC ist ein spezialisierter Controller, der in Servern installiert wird und über eigenen CPU, Speicher, Speicherplatz sowie Schnittstellen zur Sensorabfrage verfügt. Er bietet eine Low-Level-Schnittstelle zur Überwachung und Verwaltung der Serverhardware. Mit BMC kann der Status der Sensoren unabhängig vom betriebenen Betriebssystem beobachtet, die Stromversorgung, Firmware und Festplatten verwaltet sowie ein Remote-Boot über das Netzwerk organisiert werden, um den Zugang zur Remote-Konsole zu gewährleisten usw.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster