Eclypsiumi ettevõte Lenovo ThinkServersiga kaasas oleva BMC-kontrolleri püsivara kaks turvaauku, mis võimaldavad kohalikul kasutajal muuta püsivara või käivitada suvalist koodi BMC-kiibi küljel.
Täiendav analüüs näitas, et need probleemid mõjutavad ka Gigabyte Enterprise Serversi serveriplatvormides kasutatavate BMC-kontrollerite püsivara, mida kasutatakse ka selliste ettevõtete serverites nagu Acer, AMAX, Bigtera, Ciara, Penguin Computing ja sysGen. Probleemsed BMC-d kasutasid haavatavat MergePointi EMS-i püsivara, mille töötas välja kolmanda osapoole müüja Avocent (nüüd Vertivi osakond).
Esimene haavatavus on põhjustatud allalaaditud püsivara värskenduste krüptograafilise kontrolli puudumisest (kasutatakse ainult CRC32 kontrollsumma kontrollimist, vastupidiselt NIST digitaalallkirjade kasutamiseks), mis võimaldab süsteemile kohaliku juurdepääsuga ründajal BMC püsivara muuta. Probleemi saab kasutada näiteks juurkomplekti sügavaks integreerimiseks, mis jääb aktiivseks ka pärast operatsioonisüsteemi uuesti installimist ja blokeerib edasised püsivara värskendused (juurkomplekti kõrvaldamiseks peate kasutama programmeerijat SPI-välgu ümberkirjutamiseks).
Teine haavatavus on püsivara värskenduskoodis ja võimaldab asendada kohandatud käske, mida BMC-s täidetakse kõrgeima õigustasemega. Rünnakuks piisab konfiguratsioonifailis bmcfwu.cfg parameetri RemoteFirmwareImageFilePath väärtuse muutmisest, mille kaudu määratakse uuendatud püsivara pildi tee. Järgmise värskenduse ajal, mille saab käivitada IPMI käsuga, töötleb BMC seda parameetrit ja seda kasutatakse popen() kutse osana /bin/sh stringist. Kuna shellikäsu moodustav string luuakse snprintf()-kutsega ilma erimärkide korraliku vältimiseta, saavad ründajad asendada käivitamise oma koodiga. Haavatavuse ärakasutamiseks peavad teil olema õigused, mis võimaldavad IPMI kaudu BMC-kontrollerile käsu saata (kui teil on serveris administraatori õigused, saate saata IPMI-käsu ilma täiendava autentimiseta).
Gigabyte ja Lenovo olid probleemidest teadlikud juba 2018. aasta juulis ning andsid värskendused välja enne avalikustamist. Lenovo püsivara värskendused 15. novembril 2018 ThinkServer RD340, TD340, RD440, RD540 ja RD640 serverite jaoks, kuid parandasid neis ainult haavatavust, mis võimaldab käske asendada, kuna MergePoint EMS-il põhineva serverirea loomisel 2014. aastal kontrolliti digitaalallkirjaga püsivara ei olnud veel laialdaselt levinud ja seda ei avaldatud ka algselt.
Selle aasta 8. mail andis Gigabyte välja püsivara uuendused ASPEED AST2500 kontrolleriga emaplaatidele, kuid sarnaselt Lenovole parandasid need vaid käskude asendamise haavatavuse. ASPEED AST2400-l põhinevaid haavatavaid tahvleid ei värskendata veel. gigabait ka AMI püsivara MegaRAC SP-X kasutamisele ülemineku kohta. Varem MergePoint EMS-i püsivaraga varustatud süsteemidele pakutakse ka uut MegaRAC SP-X-l põhinevat püsivara. Otsus tehti pärast Vertivi teadet lõpetada MergePoint EMS platvormi tugi. Samal ajal ei ole midagi teatatud püsivara värskendamisest serverites, mida toodavad Acer, AMAX, Bigtera, Ciara, Penguin Computing ja sysGen, mis põhinevad Gigabyte'i plaatidel ja on varustatud haavatava MergePoint EMS-i püsivaraga.
Tuletame meelde, et BMC on serveritesse installitud spetsiaalne kontroller, millel on oma protsessori, mälu, salvestusruumi ja anduri pollimise liidesed, mis pakub serveri riistvara jälgimiseks ja juhtimiseks madala taseme liidest. BMC abil saate olenemata serveris töötavast operatsioonisüsteemist jälgida andurite olekut, hallata toidet, püsivara ja kettaid, korraldada kaugkäivitust üle võrgu, tagada kaugpöörduskonsooli töö jne.
Allikas: opennet.ru