Εταιρεία Eclypsium δύο ευπάθειες στο υλικολογισμικό του ελεγκτή BMC που αποστέλλεται με το Lenovo ThinkServers που επιτρέπουν σε έναν τοπικό χρήστη να αλλάξει το υλικολογισμικό ή να εκτελέσει αυθαίρετο κώδικα στο πλάι του τσιπ BMC.
Περαιτέρω ανάλυση έδειξε ότι αυτά τα προβλήματα επηρεάζουν επίσης το υλικολογισμικό των ελεγκτών BMC που χρησιμοποιούνται στις πλατφόρμες διακομιστών Gigabyte Enterprise Servers, οι οποίοι χρησιμοποιούνται επίσης σε διακομιστές από εταιρείες όπως οι Acer, AMAX, Bigtera, Ciara, Penguin Computing και sysGen. Τα προβληματικά BMC χρησιμοποιούσαν ευάλωτο υλικολογισμικό MergePoint EMS που αναπτύχθηκε από τρίτο προμηθευτή Avocent (τώρα τμήμα της Vertiv).
Η πρώτη ευπάθεια προκαλείται από την έλλειψη κρυπτογραφικής επαλήθευσης των ληφθέντων ενημερώσεων υλικολογισμικού (χρησιμοποιείται μόνο η επαλήθευση αθροίσματος ελέγχου CRC32, σε αντίθεση με NIST για χρήση ψηφιακών υπογραφών), που επιτρέπει σε έναν εισβολέα με τοπική πρόσβαση στο σύστημα να αλλάξει το υλικολογισμικό BMC. Το πρόβλημα, για παράδειγμα, μπορεί να χρησιμοποιηθεί για τη βαθιά ενσωμάτωση ενός rootkit που παραμένει ενεργό μετά την επανεγκατάσταση του λειτουργικού συστήματος και μπλοκάρει περαιτέρω ενημερώσεις υλικολογισμικού (για να εξαλείψετε το rootkit, θα χρειαστεί να χρησιμοποιήσετε έναν προγραμματιστή για να ξαναγράψετε το SPI flash).
Η δεύτερη ευπάθεια υπάρχει στον κώδικα ενημέρωσης υλικολογισμικού και επιτρέπει την αντικατάσταση προσαρμοσμένων εντολών που θα εκτελεστούν στο BMC με το υψηλότερο επίπεδο προνομίων. Για επίθεση, αρκεί να αλλάξετε την τιμή της παραμέτρου RemoteFirmwareImageFilePath στο αρχείο διαμόρφωσης bmcfwu.cfg, μέσω του οποίου προσδιορίζεται η διαδρομή προς την εικόνα του ενημερωμένου υλικολογισμικού. Κατά την επόμενη ενημέρωση, η οποία μπορεί να εκκινηθεί από μια εντολή στο IPMI, αυτή η παράμετρος θα υποβληθεί σε επεξεργασία από το BMC και θα χρησιμοποιηθεί ως μέρος της κλήσης popen() ως μέρος της συμβολοσειράς για /bin/sh. Δεδομένου ότι η συμβολοσειρά για να σχηματιστεί η εντολή φλοιού δημιουργείται χρησιμοποιώντας την κλήση snprintf() χωρίς την κατάλληλη διαφυγή ειδικών χαρακτήρων, οι εισβολείς μπορούν να αντικαταστήσουν τον δικό τους κώδικα για την εκτέλεση. Για να εκμεταλλευτείτε την ευπάθεια, πρέπει να έχετε δικαιώματα που σας επιτρέπουν να στείλετε μια εντολή μέσω IPMI στον ελεγκτή BMC (εάν έχετε δικαιώματα διαχειριστή στον διακομιστή, μπορείτε να στείλετε μια εντολή IPMI χωρίς πρόσθετο έλεγχο ταυτότητας).
Η Gigabyte και η Lenovo γνώριζαν τα ζητήματα ήδη από τον Ιούλιο του 2018 και κυκλοφόρησαν ενημερώσεις πριν από τη δημόσια αποκάλυψη. Lenovo ενημερώσεις υλικολογισμικού στις 15 Νοεμβρίου 2018 για τους διακομιστές ThinkServer RD340, TD340, RD440, RD540 και RD640, αλλά διόρθωσε μόνο μια ευπάθεια σε αυτούς που επιτρέπει την αντικατάσταση εντολών, καθώς κατά τη δημιουργία μιας σειράς διακομιστών με βάση το MergePoint EMS το 2014, του υλικολογισμικού με ψηφιακή υπογραφή δεν είχε ακόμη διανεμηθεί ευρέως και δεν είχε ανακοινωθεί αρχικά.
Στις 8 Μαΐου του τρέχοντος έτους, η Gigabyte κυκλοφόρησε ενημερώσεις υλικολογισμικού για μητρικές πλακέτες με τον ελεγκτή ASPEED AST2500, αλλά όπως και η Lenovo, διόρθωσαν μόνο την ευπάθεια αντικατάστασης εντολών. Οι ευάλωτες πλακέτες που βασίζονται στο ASPEED AST2400 δεν έχουν ακόμη ενημερωθεί. gigabyte επίσης σχετικά με τη μετάβαση στη χρήση του υλικολογισμικού MegaRAC SP-X από την AMI. Συμπεριλαμβανομένου νέου υλικολογισμικού που βασίζεται στο MegaRAC SP-X θα προσφέρεται για συστήματα που προηγουμένως παρέχονται με υλικολογισμικό MergePoint EMS. Η απόφαση ελήφθη μετά την ανακοίνωση της Vertiv να τερματίσει την υποστήριξη για την πλατφόρμα MergePoint EMS. Ταυτόχρονα, δεν έχει αναφερθεί τίποτα σχετικά με την ενημέρωση υλικολογισμικού σε διακομιστές που κατασκευάζονται από τις Acer, AMAX, Bigtera, Ciara, Penguin Computing και sysGen που βασίζονται σε πλακέτες Gigabyte και είναι εξοπλισμένοι με ευάλωτο υλικολογισμικό MergePoint EMS.
Υπενθυμίζεται ότι το BMC είναι ένας εξειδικευμένος ελεγκτής εγκατεστημένος σε διακομιστές που έχει τη δική του διεπαφή CPU, μνήμης, αποθήκευσης και ψηφοφορίας αισθητήρα, η οποία παρέχει μια διεπαφή χαμηλού επιπέδου για την παρακολούθηση και τον έλεγχο του υλικού διακομιστή. Με τη βοήθεια του BMC, ανεξάρτητα από το λειτουργικό σύστημα που εκτελείται στον διακομιστή, μπορείτε να παρακολουθείτε την κατάσταση των αισθητήρων, να διαχειρίζεστε την ισχύ, το υλικολογισμικό και τους δίσκους, να οργανώνετε την απομακρυσμένη εκκίνηση μέσω του δικτύου, να διασφαλίζετε τη λειτουργία της κονσόλας απομακρυσμένης πρόσβασης κ.λπ.
Πηγή: opennet.ru