Eclypsium ընկերություն Lenovo ThinkServer սերվերներում մատակարարված BMC կարգավորիչի որոնվածի երկու խոցելիություն, որոնք թույլ են տալիս տեղական օգտագործողին փոխել որոնվածը կամ կատարել կամայական ծածկագիր BMC չիպի կողմից:
Հետագա վերլուծությունը ցույց է տվել, որ այս խնդիրները նաև ազդում են Gigabyte Enterprise Servers սերվերային հարթակներում օգտագործվող BMC կարգավորիչների որոնվածի վրա, որոնք նույնպես օգտագործվում են այնպիսի ընկերությունների սերվերներում, ինչպիսիք են Acer, AMAX, Bigtera, Ciara, Penguin Computing և sysGen: Խնդրահարույց BMC կարգավորիչներն օգտագործում էին խոցելի MergePoint EMS որոնվածը, որը մշակվել է երրորդ կողմի Avocent-ի վաճառողի կողմից (այժմ Vertiv-ի ստորաբաժանումը):
Առաջին խոցելիությունը պայմանավորված է ներբեռնված որոնվածի թարմացումների գաղտնագրային ստուգման բացակայությամբ (ընդհակառակը, օգտագործվում է միայն CRC32 ստուգիչ գումարի ստուգում NIST-ն օգտագործում է թվային ստորագրություններ), ինչը թույլ է տալիս համակարգին տեղական մուտք ունեցող հարձակվողին խաբել BMC որոնվածը: Խնդիրը, օրինակ, կարող է օգտագործվել խորապես ինտեգրելու rootkit-ը, որը մնում է ակտիվ օպերացիոն համակարգը վերատեղադրելուց հետո և արգելափակում է որոնվածի հետագա թարմացումները (rootkit-ը վերացնելու համար դուք պետք է օգտագործեք ծրագրավորող SPI ֆլեշը վերագրելու համար):
Երկրորդ խոցելիությունը առկա է որոնվածի թարմացման կոդում և թույլ է տալիս փոխարինել ձեր սեփական հրամանները, որոնք կկատարվեն BMC-ում արտոնությունների ամենաբարձր մակարդակով: Հարձակման համար բավական է bmcfwu.cfg կազմաձևման ֆայլում փոխել RemoteFirmwareImageFilePath պարամետրի արժեքը, որի միջոցով որոշվում է թարմացված որոնվածի պատկերի ուղին։ Հաջորդ թարմացման ժամանակ, որը կարող է նախաձեռնվել IPMI-ի հրամանով, այս պարամետրը կմշակվի BMC-ի կողմից և կօգտագործվի որպես popen() կանչի մաս՝ որպես /bin/sh գծի մաս: Քանի որ shell հրամանի ստեղծման տողը ստեղծվում է snprintf() կանչի միջոցով՝ առանց հատուկ նիշերի պատշաճ մաքրման, հարձակվողները կարող են փոխարինել իրենց կոդը կատարման համար: Խոցելիությունը օգտագործելու համար դուք պետք է ունենաք իրավունքներ, որոնք թույլ են տալիս հրաման ուղարկել BMC վերահսկիչին IPMI-ի միջոցով (եթե դուք ունեք ադմինիստրատորի իրավունքներ սերվերի վրա, կարող եք ուղարկել IPMI հրաման առանց լրացուցիչ նույնականացման):
Gigabyte-ը և Lenovo-ն ծանուցվել են խնդիրների մասին դեռևս 2018 թվականի հուլիսին և կարողացել են թարմացումներ թողարկել նախքան տեղեկատվության հրապարակայնացումը: Lenovo ընկերություն որոնվածը թարմացվել է 15 թվականի նոյեմբերի 2018-ին ThinkServer RD340, TD340, RD440, RD540 և RD640 սերվերների համար, բայց միայն վերացրել է դրանցում առկա խոցելիությունը, որը թույլ է տալիս փոխարինել հրամանները, քանի որ MergePoint EMS-ի վրա հիմնված սերվերների գծի ստեղծման ժամանակ, որոնվածը 2014թ. Ստուգումն իրականացվել է թվային ստորագրության միջոցով, դեռևս տարածված չէր և ի սկզբանե չէր հայտարարվել։
Այս տարվա մայիսի 8-ին Gigabyte-ը թողարկեց ծրագրային թարմացումներ ASPEED AST2500 կարգավորիչով մայր տախտակների համար, սակայն Lenovo-ի նման այն շտկեց միայն հրամանի փոխարինման խոցելիությունը: ASPEED AST2400-ի վրա հիմնված խոցելի տախտակները առայժմ մնում են առանց թարմացումների: Գիգաբայթը նույնպես AMI-ից MegaRAC SP-X որոնվածը օգտագործելու անցման մասին: Ներառյալ նոր որոնվածը, որը հիմնված է MegaRAC SP-X-ի վրա, կառաջարկվի այն համակարգերի համար, որոնք նախկինում առաքվել են MergePoint EMS որոնվածով: Որոշումը հետևում է Vertiv-ի հայտարարությանը, որ այն այլևս չի աջակցի MergePoint EMS հարթակը: Միևնույն ժամանակ, դեռ ոչինչ չի հաղորդվել Acer, AMAX, Bigtera, Ciara, Penguin Computing և sysGen ընկերությունների կողմից արտադրված սերվերների որոնվածի թարմացումների մասին, որոնք հիմնված են Gigabyte տախտակների վրա և հագեցած են խոցելի MergePoint EMS որոնվածով:
Հիշեցնենք, որ BMC-ն սերվերներում տեղադրված մասնագիտացված կարգավորիչ է, որն ունի իր սեփական պրոցեսորը, հիշողությունը, պահեստը և սենսորային հարցումների ինտերֆեյսը, որն ապահովում է ցածր մակարդակի ինտերֆեյս սերվերային սարքավորումների մոնիտորինգի և կառավարման համար: Օգտագործելով BMC, անկախ սերվերի վրա աշխատող օպերացիոն համակարգից, դուք կարող եք վերահսկել սենսորների կարգավիճակը, կառավարել էներգիան, որոնվածը և սկավառակները, կազմակերպել հեռակա բեռնումը ցանցի միջոցով, ապահովել հեռակառավարման վահանակի շահագործումը և այլն:
Source: opennet.ru