Ширкати Eclypsium ду осебпазирии нармафзори контроллери BMC, ки дар серверҳои Lenovo ThinkServer дода шудааст, ба корбари маҳаллӣ имкон медиҳад, ки нармафзори нармафзорро тағир диҳад ё рамзи худсаронаро дар тарафи чипи BMC иҷро кунад.
Таҳлили минбаъда нишон дод, ки ин мушкилот инчунин ба нармафзори контроллерҳои BMC, ки дар платформаҳои серверии Gigabyte Enterprise Servers истифода мешаванд, таъсир мерасонанд, ки онҳо инчунин дар серверҳои ширкатҳои ба монанди Acer, AMAX, Bigtera, Ciara, Penguin Computing ва sysGen истифода мешаванд. Контроллерҳои мушкили BMC нармафзори осебпазири MergePoint EMS-ро истифода бурданд, ки аз ҷониби фурӯшандаи тарафи сеюм Avocent таҳия шудааст (ҳоло як бахши Vertiv).
осебпазирии аввал бо сабаби набудани санҷиши криптографии навсозиҳои нармафзори зеркашидашуда ба вуҷуд омадааст (танҳо санҷиши санҷиши CRC32 истифода мешавад, баръакс NIST имзоҳои рақамиро истифода мебарад), ки ба ҳамлагар бо дастрасии маҳаллӣ ба система имкон медиҳад, ки нармафзори BMC-ро қаллобӣ кунад. Масалан, мушкилотро барои амиқ ҳамгироии руткит истифода бурдан мумкин аст, ки пас аз дубора насб кардани системаи оператсионӣ фаъол боқӣ мемонад ва навсозиҳои минбаъдаи нармафзорро блок мекунад (барои бартараф кардани руткит, шумо бояд барномасозро барои аз нав навиштани флеши SPI истифода баред).
Осебпазирии дуюм дар рамзи навсозии нармафзор мавҷуд аст ва ба шумо имкон медиҳад, ки фармонҳои шахсии худро иваз кунед, ки дар BMC бо дараҷаи баландтарини имтиёзҳо иҷро карда мешаванд. Барои ҳамла кардан, тағир додани арзиши параметри RemoteFirmwareImageFilePath дар файли конфигуратсияи bmcfwu.cfg кифоя аст, ки тавассути он роҳ ба тасвири нармафзори навшуда муайян карда мешавад. Дар давоми навсозии навбатӣ, ки мумкин аст аз ҷониби як фармон дар IPMI оғоз, ин параметр аз ҷониби BMC коркард ва ҳамчун қисми popen истифода бурда мешавад () занг ҳамчун як қисми хати барои /bin/sh. Азбаски сатри тавлиди фармони shell бо истифода аз занги snprintf() бидуни тозакунии дурусти аломатҳои махсус сохта мешавад, ҳамлагарон метавонанд рамзи худро барои иҷро иваз кунанд. Барои истифода аз осебпазирӣ, шумо бояд ҳуқуқҳое дошта бошед, ки ба шумо имкон медиҳад фармонро ба контроллери BMC тавассути IPMI фиристед (агар шумо дар сервер ҳуқуқҳои администратор дошта бошед, шумо метавонед фармони IPMI-ро бе аутентификатсияи иловагӣ фиристед).
Gigabyte ва Lenovo аз мушкилот дар моҳи июли соли 2018 огоҳ шуда буданд ва тавонистанд, ки пеш аз ифшои иттилоот навсозиро интишор кунанд. Ширкати Lenovo Навсозии нармафзори миёнаравӣ 15 ноябри соли 2018 барои серверҳои ThinkServer RD340, TD340, RD440, RD540 ва RD640, аммо танҳо осебпазириро дар онҳо, ки имкон медиҳад иваз кардани фармонҳоро бартараф кард, зеро ҳангоми таъсиси як қатор серверҳо дар асоси MergePoint EMS дар соли 2014, нармафзори миёнаравӣ Санҷиш бо истифода аз имзои рақамӣ гузаронида шуда буд, ҳанӯз васеъ паҳн нашуда буд ва дар аввал эълон нашудааст.
8 майи соли ҷорӣ, Gigabyte навсозиҳои нармафзорро барои motherboards бо контролери ASPEED AST2500 интишор кард, аммо ба монанди Lenovo, он танҳо осебпазирии ивазкунии фармонро ислоҳ кард. Тахтаҳои осебпазир дар асоси ASPEED AST2400 ҳоло бе навсозӣ боқӣ мемонанд. Гигабайт низ дар бораи гузариш ба истифодаи нармафзори MegaRAC SP-X аз AMI. Аз ҷумла нармафзори нав дар асоси MegaRAC SP-X барои системаҳои қаблан бо нармафзори MergePoint EMS фиристодашуда пешниҳод карда мешавад. Қарор пас аз эълони Vertiv, ки дигар платформаи MergePoint EMS-ро дастгирӣ намекунад. Дар айни замон, дар бораи навсозии нармафзори миёнаравӣ дар серверҳое, ки аз ҷониби Acer, AMAX, Bigtera, Ciara, Penguin Computing ва sysGen дар асоси тахтаҳои Gigabyte истеҳсол шудаанд ва бо нармафзори осебпазири MergePoint EMS муҷаҳҳаз шудаанд, чизе гузориш нашудааст.
Ёдовар мешавем, ки BMC як контролери махсусест, ки дар серверҳо насб карда шудааст, ки дорои CPU, хотира, нигаҳдорӣ ва сенсорҳои пурсишҳои сенсории худро дорад, ки интерфейси сатҳи пасти мониторинг ва идоракунии таҷҳизоти серверро таъмин мекунад. Бо истифода аз BMC, новобаста аз системаи амалиётие, ки дар сервер кор мекунад, шумо метавонед ҳолати сенсорҳоро назорат кунед, қудрат, нармафзор ва дискҳоро идора кунед, пурборкунии дурдаст тавассути шабакаро ташкил кунед, кори консоли дастрасии дурдаст ва ғайраҳоро таъмин кунед.
Манбаъ: opennet.ru