Spoločnosť Eclypsium dve zraniteľnosti vo firmvéri radiča BMC dodávaného na serveroch Lenovo ThinkServer, čo umožňuje lokálnemu používateľovi zmeniť firmvér alebo spustiť ľubovoľný kód na strane čipu BMC.
Ďalšia analýza ukázala, že tieto problémy ovplyvňujú aj firmvér radičov BMC používaných v serverových platformách Gigabyte Enterprise Servers, ktoré sa používajú aj v serveroch spoločností ako Acer, AMAX, Bigtera, Ciara, Penguin Computing a sysGen. Problémové radiče BMC používali zraniteľný firmvér MergePoint EMS vyvinutý dodávateľom tretej strany Avocent (teraz divízia Vertiv).
Prvá zraniteľnosť je spôsobená nedostatočným kryptografickým overením stiahnutých aktualizácií firmvéru (používa sa len overenie kontrolného súčtu CRC32, naopak NIST používa digitálne podpisy), čo umožňuje útočníkovi s lokálnym prístupom do systému sfalšovať firmvér BMC. Problém sa dá napríklad využiť na hĺbkovú integráciu rootkitu, ktorý po preinštalovaní operačného systému zostane aktívny a zablokuje ďalšie aktualizácie firmvéru (na odstránenie rootkitu budete musieť použiť programátor na prepísanie SPI flashu).
Druhá zraniteľnosť je prítomná v kóde aktualizácie firmvéru a umožňuje vám nahradiť vlastné príkazy, ktoré sa budú vykonávať v BMC s najvyššou úrovňou privilégií. Na útok stačí zmeniť hodnotu parametra RemoteFirmwareImageFilePath v konfiguračnom súbore bmcfwu.cfg, cez ktorý sa určí cesta k obrazu aktualizovaného firmvéru. Počas ďalšej aktualizácie, ktorú možno spustiť príkazom v IPMI, bude tento parameter spracovaný BMC a použitý ako súčasť volania popen() ako súčasť riadku pre /bin/sh. Keďže riadok na generovanie príkazu shell je vytvorený pomocou volania snprintf() bez riadneho čistenia špeciálnych znakov, útočníci môžu na spustenie nahradiť ich kód. Ak chcete túto zraniteľnosť zneužiť, musíte mať práva, ktoré vám umožnia odoslať príkaz do ovládača BMC cez IPMI (ak máte administrátorské práva na serveri, môžete odoslať príkaz IPMI bez dodatočnej autentifikácie).
Gigabyte a Lenovo boli o problémoch upovedomené už v júli 2018 a podarilo sa im vydať aktualizácie skôr, ako boli informácie zverejnené. Spoločnosť Lenovo aktualizácie firmvéru 15. novembra 2018 pre servery ThinkServer RD340, TD340, RD440, RD540 a RD640, ale odstránili v nich iba zraniteľnosť, ktorá umožňuje nahradenie príkazov, pretože pri vytváraní radu serverov založených na MergePoint EMS v roku 2014 firmvér overovanie sa vykonávalo pomocou digitálneho podpisu ešte nebolo rozšírené a pôvodne nebolo oznámené.
Gigabyte vydal 8. mája tohto roku aktualizácie firmvéru pre základné dosky s radičom ASPEED AST2500, no rovnako ako Lenovo opravil iba zraniteľnosť pri nahradzovaní príkazov. Zraniteľné dosky založené na ASPEED AST2400 zostávajú zatiaľ bez aktualizácií. Gigabyte tiež o prechode na používanie firmvéru MegaRAC SP-X od AMI. Vrátane nového firmvéru založeného na MegaRAC SP-X bude ponúkané pre systémy, ktoré sa predtým dodávali s firmvérom MergePoint EMS. Rozhodnutie nasleduje po oznámení Vertivu, že už nebude podporovať platformu MergePoint EMS. Zároveň zatiaľ nebolo hlásené nič o aktualizáciách firmvéru na serveroch vyrábaných spoločnosťami Acer, AMAX, Bigtera, Ciara, Penguin Computing a sysGen založených na doskách Gigabyte a vybavených zraniteľným firmvérom MergePoint EMS.
Pripomeňme, že BMC je špecializovaný radič inštalovaný v serveroch, ktorý má vlastný procesor, pamäť, úložisko a senzorové rozhrania, ktoré poskytuje nízkoúrovňové rozhranie na monitorovanie a správu serverového zariadenia. Pomocou BMC, bez ohľadu na operačný systém bežiaci na serveri, môžete monitorovať stav senzorov, spravovať napájanie, firmvér a disky, organizovať vzdialené zavádzanie cez sieť, zabezpečovať prevádzku konzoly vzdialeného prístupu atď.
Zdroj: opennet.ru