Eclypsium kompanija du „Lenovo ThinkServer“ serveriuose pateikiamo BMC valdiklio programinės aparatinės įrangos pažeidžiamumai, leidžiantys vietiniam vartotojui pakeisti programinę-aparatinę įrangą arba vykdyti savavališką kodą BMC lusto pusėje.
Tolesnė analizė parodė, kad šios problemos turi įtakos ir Gigabyte Enterprise Servers serverių platformose naudojamų BMC valdiklių programinei įrangai, kurios taip pat naudojamos tokių kompanijų kaip Acer, AMAX, Bigtera, Ciara, Penguin Computing ir sysGen serveriuose. Probleminiai BMC valdikliai naudojo pažeidžiamą MergePoint EMS programinę įrangą, kurią sukūrė trečiosios šalies pardavėjas „Avocent“ (dabar „Vertiv“ padalinys).
Pirmąjį pažeidžiamumą sukelia atsisiųstų programinės įrangos atnaujinimų kriptografinio patikrinimo trūkumas (naudojamas tik CRC32 kontrolinės sumos patikrinimas, priešingai NIST naudoja skaitmeninius parašus), kuris leidžia užpuolikui, turinčiam vietinę prieigą prie sistemos, suklastoti BMC programinę-aparatinę įrangą. Pvz., problema gali būti naudojama norint giliai integruoti rootkit, kuris išlieka aktyvus iš naujo įdiegus operacinę sistemą ir blokuoja tolesnius programinės įrangos atnaujinimus (norėdami pašalinti rootkit, turėsite naudoti programuotoją, kad perrašytumėte SPI flash).
Antrasis pažeidžiamumas yra programinės įrangos atnaujinimo kode ir leidžia pakeisti savo komandas, kurios bus vykdomos BMC su aukščiausio lygio privilegijomis. Norėdami atakuoti, pakanka pakeisti RemoteFirmwareImageFilePath parametro reikšmę bmcfwu.cfg konfigūracijos faile, per kurį nustatomas kelias į atnaujintos programinės įrangos vaizdą. Per kitą naujinimą, kuris gali būti inicijuotas IPMI komanda, šį parametrą apdoros BMC ir naudos kaip popen() iškvietimą kaip /bin/sh eilutės dalį. Kadangi apvalkalo komandos generavimo eilutė sukuriama naudojant snprintf() iškvietimą tinkamai neišvalius specialiųjų simbolių, užpuolikai gali pakeisti savo kodą vykdymui. Norėdami išnaudoti pažeidžiamumą, turite turėti teises, leidžiančias siųsti komandą BMC valdikliui per IPMI (jei turite administratoriaus teises serveryje, galite siųsti IPMI komandą be papildomo autentifikavimo).
„Gigabyte“ ir „Lenovo“ apie problemas buvo pranešta dar 2018 m. liepos mėn., o naujinimus pavyko išleisti prieš viešai paskelbiant informaciją. Lenovo kompanija 15 m. lapkričio 2018 d. buvo atnaujinti ThinkServer RD340, TD340, RD440, RD540 ir RD640 serverių programinės aparatinės įrangos atnaujinimai, tačiau tik pašalintas jų pažeidžiamumas, leidžiantis pakeisti komandas, nes kuriant MergePoint EMS pagrindu veikiančių serverių eilutę 2014 m. patikrinimas buvo atliktas naudojant skaitmeninį parašą dar nebuvo plačiai paplitęs ir iš pradžių nebuvo paskelbtas.
Šių metų gegužės 8 dieną „Gigabyte“ išleido programinės įrangos atnaujinimus pagrindinėms plokštėms su ASPEED AST2500 valdikliu, tačiau, kaip ir „Lenovo“, ištaisė tik komandų pakeitimo spragą. Pažeidžiamos plokštės, pagrįstos ASPEED AST2400, kol kas lieka be atnaujinimų. Gigabaitas taip pat apie perėjimą prie AMI programinės įrangos MegaRAC SP-X naudojimo. Sistemoms, kurios anksčiau buvo pristatytos su MergePoint EMS programine įranga, bus pasiūlyta nauja programinė įranga, pagrįsta MegaRAC SP-X. Sprendimas priimtas po Vertiv pranešimo, kad ji nebepalaikys MergePoint EMS platformos. Tuo pačiu metu dar nebuvo pranešta apie programinės įrangos atnaujinimus serveriuose, kuriuos gamina Acer, AMAX, Bigtera, Ciara, Penguin Computing ir sysGen, pagrįsti Gigabyte plokštėmis ir aprūpinti pažeidžiama MergePoint EMS programine įranga.
Prisiminkime, kad BMC yra specializuotas serveriuose įdiegtas valdiklis, turintis savo procesoriaus, atminties, saugyklos ir jutiklių apklausų sąsajas, suteikiančias žemo lygio sąsają serverių įrangos stebėjimui ir valdymui. Naudodami BMC, nepriklausomai nuo serveryje veikiančios operacinės sistemos, galite stebėti jutiklių būseną, valdyti maitinimą, programinę-aparatinę įrangą ir diskus, organizuoti nuotolinį paleidimą tinkle, užtikrinti nuotolinės prieigos konsolės veikimą ir kt.
Šaltinis: opennet.ru