Tvrtka Eclypsium dvije ranjivosti u firmveru BMC kontrolera isporučenog u Lenovo ThinkServer poslužiteljima, dopuštajući lokalnom korisniku promjenu firmvera ili izvršavanje proizvoljnog koda na strani BMC čipa.
Daljnja analiza je pokazala da ovi problemi također utječu na firmware BMC kontrolera koji se koriste u platformama poslužitelja Gigabyte Enterprise Servers, koji se također koriste u poslužiteljima tvrtki kao što su Acer, AMAX, Bigtera, Ciara, Penguin Computing i sysGen. Problematični BMC kontroleri koristili su ranjivi MergePoint EMS firmware koji je razvio treći dobavljač Avocent (sada odjel Vertiva).
Prva je ranjivost uzrokovana nedostatkom kriptografske provjere preuzetih ažuriranja firmvera (koristi se samo provjera kontrolnog zbroja CRC32, suprotno NIST koristi digitalne potpise), što napadaču s lokalnim pristupom sustavu omogućuje lažiranje BMC firmware-a. Problem se, na primjer, može koristiti za dubinsku integraciju rootkita koji ostaje aktivan nakon ponovne instalacije operativnog sustava i blokira daljnja ažuriranja firmvera (da biste eliminirali rootkit, morat ćete upotrijebiti programator za ponovno pisanje SPI flasha).
Druga ranjivost prisutna je u kodu ažuriranja firmvera i omogućuje vam da zamijenite vlastite naredbe koje će se izvršavati u BMC-u s najvišom razinom privilegija. Za napad je dovoljno promijeniti vrijednost parametra RemoteFirmwareImageFilePath u konfiguracijskoj datoteci bmcfwu.cfg, preko koje se određuje put do slike ažuriranog firmvera. Tijekom sljedećeg ažuriranja, koje se može pokrenuti naredbom u IPMI-ju, BMC će obraditi ovaj parametar i koristiti ga kao dio poziva popen() kao dio retka za /bin/sh. Budući da se linija za generiranje naredbe ljuske stvara pomoću poziva snprintf() bez pravilnog čišćenja posebnih znakova, napadači mogu zamijeniti svoj kod za izvršenje. Da biste iskoristili ranjivost, morate imati prava koja vam omogućuju slanje naredbe BMC kontroleru putem IPMI-ja (ako imate administratorska prava na poslužitelju, možete poslati IPMI naredbu bez dodatne provjere autentičnosti).
Gigabyte i Lenovo bili su obaviješteni o problemima još u srpnju 2018. i uspjeli su objaviti ažuriranja prije nego što je informacija javno objavljena. tvrtka Lenovo ažuriranja firmvera 15. studenog 2018. za ThinkServer RD340, TD340, RD440, RD540 i RD640 poslužitelje, ali je samo eliminirala ranjivost u njima koja dopušta zamjenu naredbi, budući da je tijekom stvaranja linije poslužitelja temeljenih na MergePoint EMS-u 2014. firmver provjera provedena pomoću digitalnog potpisa još nije bila široko rasprostranjena i nije u početku najavljena.
Gigabyte je 8. svibnja ove godine objavio ažuriranje firmvera za matične ploče s kontrolerom ASPEED AST2500, ali kao i Lenovo, popravio je samo ranjivost zamjene naredbi. Ranjive ploče temeljene na ASPEED AST2400 za sada ostaju bez ažuriranja. Gigabajt također o prijelazu na korištenje MegaRAC SP-X firmwarea iz AMI-ja. Uključivanje novog firmvera temeljenog na MegaRAC SP-X bit će ponuđeno za sustave koji su prethodno bili isporučeni s firmverom MergePoint EMS. Odluka je uslijedila nakon najave Vertiva da više neće podržavati MergePoint EMS platformu. Istodobno, još ništa nije objavljeno o ažuriranju firmvera na poslužiteljima proizvođača Acer, AMAX, Bigtera, Ciara, Penguin Computing i sysGen koji se temelje na Gigabyte pločama i opremljeni su ranjivim firmverom MergePoint EMS.
Podsjetimo, BMC je specijalizirani kontroler ugrađen u poslužitelje, koji ima vlastito CPU, memoriju, pohranu i sučelja za prozivanje senzora, što pruža sučelje niske razine za nadzor i upravljanje poslužiteljskom opremom. Korištenjem BMC-a, neovisno o operativnom sustavu koji radi na poslužitelju, možete pratiti status senzora, upravljati napajanjem, firmwareom i diskovima, organizirati daljinsko dizanje preko mreže, osigurati rad konzole za daljinski pristup itd.
Izvor: opennet.ru