Uzņēmums Eclypsium divas Lenovo ThinkServer serveros piegādātā BMC kontrollera programmaparatūras ievainojamības, kas ļauj vietējam lietotājam mainīt programmaparatūru vai izpildīt patvaļīgu kodu BMC mikroshēmas pusē.
Turpmākā analīze parādīja, ka šīs problēmas ietekmē arī Gigabyte Enterprise Servers serveru platformās izmantoto BMC kontrolleru programmaparatūru, kuras tiek izmantotas arī tādu uzņēmumu serveros kā Acer, AMAX, Bigtera, Ciara, Penguin Computing un sysGen. Problemātiskie BMC kontrolleri izmantoja ievainojamu MergePoint EMS programmaparatūru, ko izstrādājis trešās puses pārdevējs Avocent (tagad Vertiv nodaļa).
Pirmo ievainojamību izraisa lejupielādēto programmaparatūras atjauninājumu kriptogrāfiskās pārbaudes trūkums (pretēji tiek izmantota tikai CRC32 kontrolsummas pārbaude NIST izmanto ciparparakstus), kas ļauj uzbrucējam ar lokālu piekļuvi sistēmai viltot BMC programmaparatūru. Piemēram, problēmu var izmantot, lai dziļi integrētu sakņu komplektu, kas paliek aktīvs pēc operētājsistēmas atkārtotas instalēšanas un bloķē turpmākus programmaparatūras atjauninājumus (lai novērstu rootkit, jums būs jāizmanto programmētājs, lai pārrakstītu SPI zibatmiņu).
Otrā ievainojamība ir programmaparatūras atjaunināšanas kodā un ļauj aizstāt savas komandas, kuras tiks izpildītas BMC ar visaugstāko privilēģiju līmeni. Lai uzbruktu, ir pietiekami mainīt RemoteFirmwareImageFilePath parametra vērtību konfigurācijas failā bmcfwu.cfg, caur kuru tiek noteikts ceļš uz atjauninātās programmaparatūras attēlu. Nākamā atjauninājuma laikā, ko var iniciēt ar komandu IPMI, šo parametru apstrādās BMC un izmantos kā daļu no popen() izsaukuma kā daļu no rindas /bin/sh. Tā kā čaulas komandas ģenerēšanas rinda tiek izveidota, izmantojot izsaukumu snprintf() bez pienācīgas speciālo rakstzīmju tīrīšanas, uzbrucēji var aizstāt izpildes kodu ar savu kodu. Lai izmantotu ievainojamību, jums ir jābūt tiesībām, kas ļauj nosūtīt komandu BMC kontrollerim, izmantojot IPMI (ja jums ir administratora tiesības serverī, varat nosūtīt IPMI komandu bez papildu autentifikācijas).
Gigabyte un Lenovo tika informēti par problēmām jau 2018. gada jūlijā, un viņiem izdevās izlaist atjauninājumus, pirms informācija tika atklāta. Lenovo uzņēmums 15. gada 2018. novembrī tika veikti programmaparatūras atjauninājumi ThinkServer RD340, TD340, RD440, RD540 un RD640 serveriem, taču tika novērsta tikai ievainojamība tajos, kas ļauj aizstāt komandas, jo, veidojot uz MergePoint EMS balstītu serveru līniju 2014. gadā, programmaparatūra Pārbaude tika veikta, izmantojot digitālo parakstu, vēl nebija plaši izplatīta un sākotnēji netika paziņota.
Šī gada 8. maijā Gigabyte izlaida programmaparatūras atjauninājumus mātesplatēm ar ASPEED AST2500 kontrolieri, taču tāpat kā Lenovo tas tikai novērsa komandu aizstāšanas ievainojamību. Neaizsargātās plates, kuru pamatā ir ASPEED AST2400, pagaidām paliek bez atjauninājumiem. Gigabaits arī par pāreju uz MegaRAC SP-X programmaparatūras izmantošanu no AMI. Sistēmām, kas iepriekš tika piegādātas ar MergePoint EMS programmaparatūru, tiks piedāvāta jauna programmaparatūra, kuras pamatā ir MegaRAC SP-X. Lēmums pieņemts pēc Vertiv paziņojuma, ka tas vairs neatbalstīs MergePoint EMS platformu. Tajā pašā laikā vēl nekas nav ziņots par programmaparatūras atjauninājumiem serveros, ko ražo Acer, AMAX, Bigtera, Ciara, Penguin Computing un sysGen, pamatojoties uz Gigabyte platēm un aprīkoti ar ievainojamu MergePoint EMS programmaparatūru.
Atgādināsim, ka BMC ir specializēts serveros uzstādīts kontrolleris, kuram ir savs CPU, atmiņas, uzglabāšanas un sensoru aptaujas interfeiss, kas nodrošina zema līmeņa saskarni serveru iekārtu uzraudzībai un pārvaldīšanai. Izmantojot BMC, neatkarīgi no operētājsistēmas, kas darbojas serverī, varat pārraudzīt sensoru statusu, pārvaldīt barošanu, programmaparatūru un diskus, organizēt attālo sāknēšanu tīklā, nodrošināt attālās piekļuves konsoles darbību utt.
Avots: opennet.ru