Eclypsium Company Lenovo ThinkServersin mukana toimitetun BMC-ohjaimen laiteohjelmiston kaksi haavoittuvuutta, joiden avulla paikallinen käyttäjä voi muuttaa laiteohjelmistoa tai suorittaa mielivaltaisen koodin BMC-sirun sivulla.
Lisäanalyysi osoitti, että nämä ongelmat vaikuttavat myös Gigabyte Enterprise Servers -palvelinalustoissa käytettävien BMC-ohjainten laiteohjelmistoon, joita käytetään myös Acerin, AMAXin, Bigteran, Ciaran, Penguin Computingin ja sysGenin palvelimissa. Ongelmalliset BMC:t käyttivät haavoittuvaa MergePoint EMS -laiteohjelmistoa, jonka oli kehittänyt kolmannen osapuolen toimittaja Avocent (nykyisin Vertivin jaosto).
Ensimmäinen haavoittuvuus johtuu ladattujen laiteohjelmistopäivitysten salauksen puutteesta (käytetään vain CRC32-tarkistussumman vahvistusta, toisin kuin NIST käyttää digitaalisia allekirjoituksia), jonka avulla hyökkääjä, jolla on paikallinen pääsy järjestelmään, voi muuttaa BMC-laiteohjelmistoa. Ongelmaa voidaan esimerkiksi käyttää integroimaan syvästi rootkit, joka pysyy aktiivisena käyttöjärjestelmän uudelleenasennuksen jälkeen ja estää lisälaiteohjelmistopäivitykset (rootkitin poistamiseksi sinun on kirjoitettava SPI-flash uudelleen ohjelmoijalla).
Toinen haavoittuvuus on laiteohjelmiston päivityskoodissa, ja se mahdollistaa mukautettujen komentojen korvaamisen, jotka suoritetaan BMC:ssä korkeimmalla käyttöoikeustasolla. Hyökkäyksille riittää, että muutetaan RemoteFirmwareImageFilePath-parametrin arvoa määritystiedostossa bmcfwu.cfg, jonka kautta päivitetyn laiteohjelmiston kuvan polku määritetään. Seuraavan päivityksen aikana, joka voidaan käynnistää IPMI:n komennolla, BMC käsittelee tämän parametrin ja sitä käytetään osana popen()-kutsua osana /bin/sh-merkkijonoa. Koska komentotulkkikomennon muodostava merkkijono luodaan snprintf()-kutsulla ilman asianmukaista erikoismerkkien poistoa, hyökkääjät voivat korvata suorituksen omalla koodillaan. Haavoittuvuuden hyödyntämiseksi sinulla on oltava oikeudet, joiden avulla voit lähettää komennon IPMI:n kautta BMC-ohjaimelle (jos sinulla on järjestelmänvalvojan oikeudet palvelimeen, voit lähettää IPMI-komennon ilman lisätodennusta).
Gigabyte ja Lenovo olivat tietoisia ongelmista jo heinäkuussa 2018 ja julkaisivat päivityksiä ennen julkistamista. Lenovo laiteohjelmistopäivitykset 15. marraskuuta 2018 ThinkServer RD340-, TD340-, RD440-, RD540- ja RD640-palvelimille, mutta korjasivat niissä vain komennon korvaamisen mahdollistavan haavoittuvuuden, koska MergePoint EMS:ään perustuvan palvelinsarjan luomisen aikana vuonna 2014 varmistus Laiteohjelmistoa digitaalisella allekirjoituksella ei vielä levitetty laajalti, eikä sitä alun perin julkistettu.
8. toukokuuta tänä vuonna Gigabyte julkaisi laiteohjelmistopäivitykset emolevyille, joissa oli ASPEED AST2500 -ohjain, mutta Lenovon tapaan ne korjasivat vain komentojen korvaamisen haavoittuvuuden. ASPEED AST2400:aan perustuvia haavoittuvia kortteja ei ole vielä päivitetty. gigatavua myös Tietoja siirtymisestä AMI:n MegaRAC SP-X -laiteohjelmiston käyttöön. Mukana uusi laiteohjelmisto, joka perustuu MegaRAC SP-X:ään, tarjotaan järjestelmille, joissa on aiemmin ollut MergePoint EMS -laiteohjelmisto. Päätös tehtiin sen jälkeen, kun Vertiv ilmoitti lopettaa MergePoint EMS -alustan tuen. Samaan aikaan ei ole raportoitu mitään laiteohjelmiston päivittämisestä Acerin, AMAXin, Bigteran, Ciaran, Penguin Computingin ja sysGenin valmistamilla palvelimilla, jotka perustuvat Gigabyte-levyihin ja jotka on varustettu haavoittuvalla MergePoint EMS -laiteohjelmistolla.
Muista, että BMC on palvelimille asennettu erikoisohjain, jolla on omat CPU-, muisti-, tallennus- ja anturikyselyliitännät, mikä tarjoaa matalan tason rajapinnan palvelinlaitteiston valvontaan ja ohjaukseen. BMC:n avulla voit seurata palvelimella toimivasta käyttöjärjestelmästä riippumatta anturien tilaa, hallita virtaa, laiteohjelmistoa ja levyjä, järjestää etäkäynnistystä verkon yli, varmistaa etäkäyttökonsolin toiminnan jne.
Lähde: opennet.ru