Eclypsium Company to sårbarheter i fastvaren til BMC-kontrolleren som leveres i Lenovo ThinkServer-servere, som lar en lokal bruker endre fastvaren eller kjøre vilkårlig kode på BMC-brikkesiden.
Ytterligere analyser viste at disse problemene også påvirker fastvaren til BMC-kontrollere som brukes i Gigabyte Enterprise Servers serverplattformer, som også brukes i servere fra selskaper som Acer, AMAX, Bigtera, Ciara, Penguin Computing og sysGen. De problematiske BMC-kontrollerne brukte sårbar MergePoint EMS-fastvare utviklet av tredjepartsleverandøren Avocent (nå en avdeling av Vertiv).
Den første sårbarheten er forårsaket av mangel på kryptografisk verifisering av nedlastede fastvareoppdateringer (bare CRC32 kontrollsum-verifisering brukes, tvert imot NIST bruker digitale signaturer), som lar en angriper med lokal tilgang til systemet forfalske BMC-fastvaren. Problemet kan for eksempel brukes til å dyptintegrere et rootkit som forblir aktivt etter å ha installert operativsystemet på nytt og blokkerer ytterligere fastvareoppdateringer (for å eliminere rootkit, må du bruke en programmerer til å omskrive SPI-flashen).
Den andre sårbarheten er tilstede i fastvareoppdateringskoden og lar deg erstatte dine egne kommandoer, som vil bli utført i BMC med det høyeste nivået av privilegier. For å angripe er det nok å endre verdien til RemoteFirmwareImageFilePath-parameteren i bmcfwu.cfg-konfigurasjonsfilen, som banen til bildet til den oppdaterte fastvaren bestemmes gjennom. Under neste oppdatering, som kan initieres av en kommando i IPMI, vil denne parameteren bli behandlet av BMC og brukt som en del av popen()-kallet som en del av linjen for /bin/sh. Siden linjen for generering av shell-kommandoen er opprettet ved å bruke snprintf()-kallet uten skikkelig rengjøring av spesialtegn, kan angripere erstatte koden deres for kjøring. For å utnytte sårbarheten må du ha rettigheter som lar deg sende en kommando til BMC-kontrolleren via IPMI (hvis du har administratorrettigheter på serveren, kan du sende en IPMI-kommando uten ekstra autentisering).
Gigabyte og Lenovo ble varslet om problemene tilbake i juli 2018 og klarte å gi ut oppdateringer før informasjonen ble offentliggjort. Lenovo-selskap fastvareoppdateringer 15. november 2018 for ThinkServer RD340, TD340, RD440, RD540 og RD640-serverne, men eliminerte bare en sårbarhet i dem som tillater kommandoerstatning, siden under opprettelsen av en linje med servere basert på MergePoint EMS i 2014, verifisering ble utført ved hjelp av en digital signatur var ennå ikke utbredt og ble ikke først annonsert.
8. mai i år ga Gigabyte ut fastvareoppdateringer for hovedkort med ASPEED AST2500-kontrolleren, men i likhet med Lenovo løste den bare sikkerhetsproblemet for kommandoerstatning. Sårbare tavler basert på ASPEED AST2400 forblir uten oppdateringer foreløpig. Gigabyte også om overgangen til å bruke MegaRAC SP-X firmware fra AMI. Inkludert ny firmware basert på MegaRAC SP-X vil bli tilbudt for systemer som tidligere ble levert med MergePoint EMS-firmware. Avgjørelsen følger etter Vertivs kunngjøring om at de ikke lenger vil støtte MergePoint EMS-plattformen. Samtidig er det ennå ikke rapportert noe om fastvareoppdateringer på servere produsert av Acer, AMAX, Bigtera, Ciara, Penguin Computing og sysGen basert på Gigabyte-kort og utstyrt med sårbar MergePoint EMS-firmware.
La oss huske at BMC er en spesialisert kontroller installert i servere, som har sine egne CPU-, minne-, lagrings- og sensorpolling-grensesnitt, som gir et lavnivågrensesnitt for overvåking og administrasjon av serverutstyr. Ved å bruke BMC, uavhengig av operativsystemet som kjører på serveren, kan du overvåke statusen til sensorer, administrere strøm, fastvare og disker, organisere ekstern oppstart over nettverket, sikre driften av en ekstern tilgangskonsoll, etc.
Kilde: opennet.ru