מתקפת PMFault שיכולה להשבית את המעבד במערכות שרת מסוימות

חוקרים מאוניברסיטת ברמינגהם, הידועים בעבר בפיתוח מתקפות Plundervolt ו-VoltPillager, זיהו פגיעות (CVE-2022-43309) בחלק מלוחות אם של שרתים שיכולה להשבית פיזית את ה-CPU ללא אפשרות לשחזור לאחר מכן. ניתן להשתמש בפגיעות, בשם הקוד PMFault, כדי לגרום נזק לשרתים שלתוקף אין גישה פיזית אליהם, אך יש לו גישה מוסמכת למערכת ההפעלה, שהושגה, למשל, כתוצאה מניצול פגיעות שלא תוקנה או יירוט אישורי מנהל.

המהות של השיטה המוצעת היא להשתמש בממשק PMBus, המשתמש בפרוטוקול I2C, כדי להעלות את המתח המסופק למעבד לערכים שגורמים נזק לשבב. ממשק PMBus מיושם בדרך כלל ב-VRM (Voltage Regulator Module), שאליו ניתן לגשת באמצעות מניפולציה של בקר ה-BMC. כדי לתקוף לוחות התומכים ב-PMBus, בנוסף לזכויות המנהל במערכת ההפעלה, חייבת להיות לך גישה פרוגרמטית ל-BMC (בקר ניהול בסיס), למשל, דרך ממשק IPMI KCS (סגנון בקר מקלדת), דרך אתרנט או דרך מהבהבת ה-BMC מהמערכת הנוכחית.

בעיה המאפשרת התקפה ללא ידיעה על פרמטרי האימות ב-BMC אושרה בלוחות אם Supermicro עם תמיכה ב-IPMI (X11, X12, H11 ו-H12) ו-ASRock, אך מושפעים גם לוחות שרתים אחרים שבהם ניתן לגשת ל-PMBus. במהלך הניסויים, כאשר המתח עלה ל-2.84 וולט, שני מעבדי Intel Xeon ניזוקו בלוחות אלו. כדי לגשת ל-BMC מבלי לדעת את פרמטרי האימות, אך עם גישת שורש למערכת ההפעלה, נעשה שימוש בפגיעות במנגנון אימות הקושחה, שאפשרה להוריד עדכון קושחה שונה לבקר BMC, וכן אפשרות של גישה לא מאומתת באמצעות IPMI KCS.

ניתן להשתמש בשיטת שינוי המתח באמצעות PMBus גם לביצוע מתקפת Plundervolt, המאפשרת, על ידי הורדת המתח לערכים מינימליים, לגרום נזק לתכולת תאי הנתונים במעבד המשמש בחישובים במובלעות מבודדות של אינטל SGX וליצור שגיאות. באלגוריתמים נכונים בתחילה. לדוגמה, אם תשנה את הערך המשמש בכפל במהלך תהליך ההצפנה, הפלט יהיה טקסט צופן לא חוקי. על ידי היכולת להתקשר למטפל ב-SGX כדי להצפין את הנתונים שלו, תוקף יכול, על ידי גרימת כשלים, לצבור נתונים סטטיסטיים לגבי השינוי בטקסט הצופן של הפלט ולשחזר את ערך המפתח המאוחסן במובלעת SGX.

ערכת כלים לתקיפת לוחות Supermicro ו-ASRock, כמו גם כלי עזר לבדיקת גישה ל-PMBus, מתפרסמת ב-GitHub.

מקור: OpenNet.ru