Ettevõte Eclypsium kaks haavatavust BMC-kontrolleri püsivara versioonides, mida tarnitakse Lenovo ThinkServeri serveritesse, võimaldades kohalikul kasutajal püsivara asendada või käivitada BMC-kiibi poolel suvalist koodi.
Edasiuurimine näitas, et need probleemid mõjutavad ka BMC-kontrollerite püsivara versioone, mida kasutatakse Gigabyte Enterprise Serverite platvormidel, mida kasutavad ka sellised ettevõtted nagu Acer, AMAX, Bigtera, Ciara, Penguin Computing ja sysGen. Probleemsetes BMC-kontrollerites kasutati haavatavat MergePoint EMS püsivara, mille on välja töötanud kolmas osapool Avocent (praegu Vertivi tütarettevõte).
Esimene haavatavus on põhjustatud krüptograafilise autentimise puudumisest laaditavate püsivara uuenduste jaoks (kasutatakse ainult CRC32 kontrollsummade kontrollimist, mis on vastuolus NIST kasutab digitaalseid allkirju, mis võimaldab ründajal, kellel on kohalik juurdepääs süsteemile, BMC püsivara asendada. Probleem võib näiteks võimaldada sügava rootkit'i integreerimist, mis jääb aktiivseks pärast operatsioonisüsteemi uuesti installimist ja takistab edasisi püsivara uuendusi (rootkit'i kõrvaldamiseks on vajalik SPI flash'i ümberprogrammeerimise seadme kasutamine).
Teine haavatavus on seotud püsivara värskenduskoodiga, mis võimaldab lisada oma käske, mis täidetakse BMC kõrgeimatega privileegidega. Rünnakuks piisab väärtuse muutmisest konfigureerimifailis bmcfwu.cfg olevas parameetris RemoteFirmwareImageFilePath, mille kaudu määratakse värskendatava püsivara pilt. Järgmise värskenduse ajal, mille saab käivitada IPMI käsuga, töödeldakse see parameeter BMC poolt ja seda kasutatakse popen() kutsumise osana stringina /bin/sh. Kuna shell-käskluse vormimise stringi genereeritakse snprintf() kutsumisega ilma vajaliku erimärkide puhastamiseta, saavad ründajad sisestada oma koodi täitmiseks. Haavatavuse ärakasutamiseks on vajalik õiguste olemasolu, mis võimaldab IPMI kaudu BMC kontrollerile käsku saata (serveris adminõigustega saab IPMI käsku saata ilma täiendava autentimiseta).
Firmad Gigabyte ja Lenovo teavitati probleemidest juba 2018. aasta juulis ning suutsid enne avalike andmete avalikustamist välja anda värskendusi. Ettevõte Lenovo 15. novembril 2018. aastal väljastatud ThinkServer RD340, TD340, RD440, RD540 ja RD640 serverite firmware'i värskendused parandasid vaid haavatavuse, mis võimaldas käske asendada, kuna FusionPoint EMS-i serverite seeria loomise ajal 2014. aastal ei olnud digitaalallkirjade kontrollimine laialdaselt levinud ega algselt välja kuulutatud.
Sel aasta 8. mail vabastas ettevõte Gigabyte värskendused ASPEED AST2500 kontrolleriga emaplaatidele, kuid nagu ka Lenovo, parandas see ainult käske asendava haavatavuse. Haavatavad ASPEED AST2400 plaadid jäävad endiselt värskenduseta. Gigabyte samuti on teatanud üleminekust AMI MegaRAC SP-X firmware'ile. Uued MegaRAC SP-X-põhised firmware'id pakutakse süsteemidele, mis eelnevalt toodi turule MergePoint EMS firmware'iga. Otsus tehti pärast Vertiv'i avaldust MergePoint EMS platvormi toe lõpetamise kohta. Samuti ei ole veel teavet värskenduste kohta serverite puhul, mida toodavad ettevõtted Acer, AMAX, Bigtera, Ciara, Penguin Computing ja sysGen Gigabyte'i plaatide baasil, millel on haavatavad MergePoint EMS-i firmware'id.
Meeldetuletuseks: BMC on spetsialiseeritud kontroller, mis paigaldatakse serveritesse, millel on oma CPU, mälu, salvestus ja anduritelt küsitluse liidesed. See pakub madala taseme liidest serveri riistvara jälgimiseks ja juhtimiseks. BMC abil, sõltumata serveris töötavast operatsioonisüsteemist, saab jälgida andurite seisundit, hallata toite, püsivara ja kettaid, korraldada kauglaadimist võrgu kaudu, tagada kaugjuhtimiskonsooli töö jne.
Allikas: opennet.ru
