Eclypsium Company Zwei Schwachstellen in der Firmware des mit Lenovo ThinkServern gelieferten BMC-Controllers, die es einem lokalen Benutzer ermöglichen, die Firmware zu ändern oder beliebigen Code auf der Seite des BMC-Chips auszuführen.
Weitere Analysen ergaben, dass diese Probleme auch die Firmware von BMC-Controllern betreffen, die in Serverplattformen von Gigabyte Enterprise Servers verwendet werden, die auch in Servern von Unternehmen wie Acer, AMAX, Bigtera, Ciara, Penguin Computing und sysGen verwendet werden. Die problematischen BMCs nutzten die anfällige MergePoint EMS-Firmware, die vom Drittanbieter Avocent (heute ein Geschäftsbereich von Vertiv) entwickelt wurde.
Die erste Schwachstelle wird durch die fehlende kryptografische Überprüfung heruntergeladener Firmware-Updates verursacht (im Gegensatz dazu wird nur die CRC32-Prüfsummenüberprüfung verwendet). NIST verwendet digitale Signaturen), wodurch ein Angreifer mit lokalem Zugriff auf das System die BMC-Firmware ändern kann. Das Problem kann beispielsweise dazu genutzt werden, ein Rootkit tief zu integrieren, das nach der Neuinstallation des Betriebssystems aktiv bleibt und weitere Firmware-Updates blockiert (um das Rootkit zu beseitigen, müssen Sie den SPI-Flash mit einem Programmierer neu schreiben).
Die zweite Schwachstelle liegt im Firmware-Update-Code und ermöglicht die Ersetzung benutzerdefinierter Befehle, die im BMC mit der höchsten Berechtigungsstufe ausgeführt werden. Für den Angriff reicht es aus, den Wert des Parameters RemoteFirmwareImageFilePath in der Konfigurationsdatei bmcfwu.cfg zu ändern, wodurch der Pfad zum Image der aktualisierten Firmware bestimmt wird. Beim nächsten Update, das durch einen Befehl in IPMI initiiert werden kann, wird dieser Parameter vom BMC verarbeitet und als Teil des popen()-Aufrufs als Teil der Zeichenfolge für /bin/sh verwendet. Da die Zeichenfolge zur Bildung des Shell-Befehls mithilfe des snprintf()-Aufrufs erstellt wird, ohne dass Sonderzeichen ordnungsgemäß entfernt werden, können Angreifer die Ausführung durch ihren eigenen Code ersetzen. Um die Sicherheitslücke auszunutzen, müssen Sie über Rechte verfügen, die es Ihnen ermöglichen, einen Befehl über IPMI an den BMC-Controller zu senden (wenn Sie über Administratorrechte auf dem Server verfügen, können Sie einen IPMI-Befehl ohne zusätzliche Authentifizierung senden).
Gigabyte und Lenovo waren sich der Probleme bereits im Juli 2018 bewusst und veröffentlichten Updates, bevor sie öffentlich bekannt gegeben wurden. Lenovo Firmware-Updates am 15. November 2018 für die Server ThinkServer RD340, TD340, RD440, RD540 und RD640, behoben jedoch nur eine Schwachstelle darin, die eine Befehlsersetzung ermöglicht, da bei der Erstellung einer Serverreihe auf Basis von MergePoint EMS im Jahr 2014 eine Überprüfung durchgeführt wurde der Firmware per digitaler Signatur war noch nicht weit verbreitet und wurde ursprünglich nicht angekündigt.
Am 8. Mai dieses Jahres veröffentlichte Gigabyte Firmware-Updates für Motherboards mit dem ASPEED AST2500-Controller, aber wie Lenovo haben sie nur die Schwachstelle durch Befehlsersetzung behoben. Anfällige Boards basierend auf ASPEED AST2400 wurden noch nicht aktualisiert. Gigabyte auch über den Übergang zur Verwendung der Firmware MegaRAC SP-X von AMI. Einschließlich neuer Firmware auf Basis von MegaRAC SP-X wird für Systeme angeboten, die zuvor mit MergePoint EMS-Firmware geliefert wurden. Die Entscheidung wurde nach der Ankündigung von Vertiv getroffen, den Support für die MergePoint EMS-Plattform einzustellen. Gleichzeitig wurde nichts über die Aktualisierung der Firmware auf Servern der Hersteller Acer, AMAX, Bigtera, Ciara, Penguin Computing und sysGen berichtet, die auf Gigabyte-Boards basieren und mit anfälliger MergePoint EMS-Firmware ausgestattet sind.
Denken Sie daran, dass BMC ein spezialisierter Controller ist, der in Servern installiert ist und über eigene CPU-, Speicher-, Speicher- und Sensorabfrageschnittstellen verfügt, die eine Low-Level-Schnittstelle zur Überwachung und Steuerung der Serverhardware bieten. Mit Hilfe von BMC können Sie unabhängig vom auf dem Server laufenden Betriebssystem den Status von Sensoren überwachen, Strom, Firmware und Festplatten verwalten, Remote-Boot über das Netzwerk organisieren, den Betrieb der Remote-Zugriffskonsole sicherstellen usw.
Source: opennet.ru