Eclypsium Company
Weitere Analysen ergaben, dass diese Probleme auch die Firmware von BMC-Controllern betreffen, die in Serverplattformen von Gigabyte Enterprise Servers verwendet werden, die auch in Servern von Unternehmen wie Acer, AMAX, Bigtera, Ciara, Penguin Computing und sysGen verwendet werden. Die problematischen BMCs nutzten die anfällige MergePoint EMS-Firmware, die vom Drittanbieter Avocent (heute ein Geschäftsbereich von Vertiv) entwickelt wurde.
Die erste Schwachstelle wird durch die fehlende kryptografische Überprüfung heruntergeladener Firmware-Updates verursacht (im Gegensatz dazu wird nur die CRC32-Prüfsummenüberprüfung verwendet).
Die zweite Schwachstelle liegt im Firmware-Update-Code und ermöglicht die Ersetzung benutzerdefinierter Befehle, die im BMC mit der höchsten Berechtigungsstufe ausgeführt werden. Für den Angriff reicht es aus, den Wert des Parameters RemoteFirmwareImageFilePath in der Konfigurationsdatei bmcfwu.cfg zu ändern, wodurch der Pfad zum Image der aktualisierten Firmware bestimmt wird. Beim nächsten Update, das durch einen Befehl in IPMI initiiert werden kann, wird dieser Parameter vom BMC verarbeitet und als Teil des popen()-Aufrufs als Teil der Zeichenfolge für /bin/sh verwendet. Da die Zeichenfolge zur Bildung des Shell-Befehls mithilfe des snprintf()-Aufrufs erstellt wird, ohne dass Sonderzeichen ordnungsgemäß entfernt werden, können Angreifer die Ausführung durch ihren eigenen Code ersetzen. Um die Sicherheitslücke auszunutzen, müssen Sie über Rechte verfügen, die es Ihnen ermöglichen, einen Befehl über IPMI an den BMC-Controller zu senden (wenn Sie über Administratorrechte auf dem Server verfügen, können Sie einen IPMI-Befehl ohne zusätzliche Authentifizierung senden).
Gigabyte und Lenovo waren sich der Probleme bereits im Juli 2018 bewusst und veröffentlichten Updates, bevor sie öffentlich bekannt gegeben wurden. Lenovo
Am 8. Mai dieses Jahres veröffentlichte Gigabyte Firmware-Updates für Motherboards mit dem ASPEED AST2500-Controller, aber wie Lenovo haben sie nur die Schwachstelle durch Befehlsersetzung behoben. Anfällige Boards basierend auf ASPEED AST2400 wurden noch nicht aktualisiert. Gigabyte auch
Denken Sie daran, dass BMC ein spezialisierter Controller ist, der in Servern installiert ist und über eigene CPU-, Speicher-, Speicher- und Sensorabfrageschnittstellen verfügt, die eine Low-Level-Schnittstelle zur Überwachung und Steuerung der Serverhardware bieten. Mit Hilfe von BMC können Sie unabhängig vom auf dem Server laufenden Betriebssystem den Status von Sensoren überwachen, Strom, Firmware und Festplatten verwalten, Remote-Boot über das Netzwerk organisieren, den Betrieb der Remote-Zugriffskonsole sicherstellen usw.
Source: opennet.ru