It bedriuw ECLIPSIUM CORP twa kwetsberens yn 'e firmware fan' e BMC-controller ferstjoerd mei Lenovo ThinkServers wêrtroch in lokale brûker de firmware kin feroarje of willekeurige koade útfiere oan 'e kant fan' e BMC-chip.
Fierdere analyze die bliken dat dizze problemen ek beynfloedzje de firmware fan BMC controllers brûkt yn Gigabyte Enterprise Servers tsjinner platfoarms, dy't ek brûkt wurde yn tsjinners fan bedriuwen lykas Acer, AMAX, Bigtera, Ciara, Penguin Computing en sysGen. De problematyske BMC's brûkten kwetsbere MergePoint EMS-firmware ûntwikkele troch ferkeaper fan tredden Avocent (no in ôfdieling fan Vertiv).
De earste kwetsberens wurdt feroarsake troch it ûntbrekken fan kryptografyske ferifikaasje fan ynladen firmware-updates (allinich CRC32-kontrôlesumferifikaasje wurdt brûkt, yn tsjinstelling ta NIST om digitale hantekeningen te brûken), wêrtroch in oanfaller mei lokale tagong ta it systeem de BMC-firmware kin feroarje. It probleem kin bygelyks brûkt wurde om in rootkit djip te yntegrearjen dy't aktyf bliuwt nei it opnij ynstallearjen fan it bestjoeringssysteem en blokkearret fierdere firmware-fernijings (om de rootkit te eliminearjen, moatte jo in programmeur brûke om de SPI-flitser te herskriuwen).
De twadde kwetsberens is oanwêzich yn 'e firmware-fernijingskoade en lit it ferfangen fan oanpaste kommando's dy't sille wurde útfierd yn' e BMC mei it heechste nivo fan privileezjes. Om oan te fallen is it genôch om de wearde fan 'e RemoteFirmwareImageFilePath-parameter te feroarjen yn' e bmcfwu.cfg-konfiguraasjetriem, wêrtroch it paad nei it byld fan 'e bywurke firmware wurdt bepaald. Tidens de folgjende fernijing, dat kin wurde inisjearre troch in kommando yn IPMI, dizze parameter wurdt ferwurke troch de BMC en brûkt as ûnderdiel fan de popen () oprop as ûnderdiel fan de tekenrige foar / bin / sh. Sûnt de tekenrige om it shell-kommando te foarmjen wurdt makke mei de snprintf()-oprop sûnder in goede ûntsnapping fan spesjale tekens, kinne oanfallers har eigen koade ferfange foar útfiering. Om de kwetsberens te eksploitearjen, moatte jo rjochten hawwe wêrmei jo in kommando fia IPMI nei de BMC-controller kinne stjoere (as jo administratorrjochten hawwe op 'e tsjinner, kinne jo in IPMI-kommando stjoere sûnder ekstra autentikaasje).
Gigabyte en Lenovo wiene al yn july 2018 bewust fan 'e problemen en publisearren updates foarôfgeand oan iepenbiere iepenbiering. Lenovo Firmware-updates op novimber 15, 2018 foar de ThinkServer RD340, TD340, RD440, RD540 en RD640-tsjinners, mar repareare allinich in kwetsberens yn har dy't kommando-ferfanging mooglik makket, om't by it oanmeitsjen fan in line fan servers basearre op MergePoint EMS yn 2014, ferifikaasje fan firmware troch digitale hantekening wie noch net wiid ferspraat en waard oarspronklik net oankundige.
Op maaie 8 dit jier hat Gigabyte firmware-updates frijlitten foar moederborden mei de ASPEED AST2500-controller, mar lykas Lenovo reparearren se allinich de kwetsberens foar kommandoferfanging. Kwetsbere boerden basearre op ASPEED AST2400 binne noch net bywurke. gigabyte ek oer de oergong nei it brûken fan firmware MegaRAC SP-X út AMI. Ynklusyf nije firmware basearre op MegaRAC SP-X sil oanbean wurde foar systemen earder levere mei MergePoint EMS firmware. It beslút waard makke nei de oankundiging fan Vertiv om stipe foar it MergePoint EMS-platfoarm te beëinigjen. Tagelyk is neat rapportearre oer it bywurkjen fan de firmware op servers makke troch Acer, AMAX, Bigtera, Ciara, Penguin Computing en sysGen basearre op Gigabyte-boerden en útrist mei kwetsbere MergePoint EMS-firmware.
Unthâld dat BMC is in spesjalisearre controller ynstallearre yn tsjinners dy't hat syn eigen CPU, ûnthâld, opslach en sensor polling ynterface, dy't soarget foar in leech-nivo ynterface foar tafersjoch en kontrôle tsjinner hardware. Mei help fan BMC, nettsjinsteande it bestjoeringssysteem dat op 'e tsjinner rint, kinne jo de status fan sensoren kontrolearje, macht, firmware en skiven beheare, boot op ôfstân organisearje oer it netwurk, soargje foar de wurking fan' e konsole op ôfstân tagong, ensfh.
Boarne: opennet.ru