Kumpanya ng Eclypsium dalawang kahinaan sa firmware ng BMC controller na ibinibigay sa mga server ng Lenovo ThinkServer, na nagpapahintulot sa isang lokal na user na baguhin ang firmware o i-execute ang arbitrary code sa gilid ng BMC chip.
Ang karagdagang pagsusuri ay nagpakita na ang mga problemang ito ay nakakaapekto rin sa firmware ng BMC controllers na ginagamit sa Gigabyte Enterprise Servers server platforms, na ginagamit din sa mga server mula sa mga kumpanya tulad ng Acer, AMAX, Bigtera, Ciara, Penguin Computing at sysGen. Ang may problemang BMC controllers ay gumamit ng vulnerable na MergePoint EMS firmware na binuo ng third-party na vendor na si Avocent (ngayon ay isang dibisyon ng Vertiv).
Ang unang kahinaan ay sanhi ng kakulangan ng cryptographic na pag-verify ng mga na-download na update ng firmware (tanging CRC32 checksum verification ang ginagamit, salungat Gumagamit ang NIST ng mga digital na lagda), na nagbibigay-daan sa isang umaatake na may lokal na access sa system na madaya ang BMC firmware. Ang problema, halimbawa, ay maaaring gamitin upang malalim na pagsamahin ang isang rootkit na nananatiling aktibo pagkatapos muling i-install ang operating system at harangan ang karagdagang mga update sa firmware (upang alisin ang rootkit, kakailanganin mong gumamit ng programmer upang muling isulat ang SPI flash).
Ang pangalawang kahinaan ay naroroon sa firmware update code at nagbibigay-daan sa iyo na palitan ang iyong sariling mga utos, na isasagawa sa BMC na may pinakamataas na antas ng mga pribilehiyo. Upang pag-atake, sapat na upang baguhin ang halaga ng parameter ng RemoteFirmwareImageFilePath sa bmcfwu.cfg configuration file, kung saan natutukoy ang path sa imahe ng na-update na firmware. Sa susunod na pag-update, na maaaring simulan ng isang command sa IPMI, ang parameter na ito ay ipoproseso ng BMC at gagamitin bilang bahagi ng popen() na tawag bilang bahagi ng linya para sa /bin/sh. Dahil ang linya para sa pagbuo ng shell command ay nilikha gamit ang snprintf() na tawag nang walang wastong paglilinis ng mga espesyal na character, maaaring palitan ng mga attacker ang kanilang code para sa execution. Upang samantalahin ang kahinaan, dapat ay mayroon kang mga karapatan na nagbibigay-daan sa iyong magpadala ng command sa BMC controller sa pamamagitan ng IPMI (kung mayroon kang mga karapatan ng administrator sa server, maaari kang magpadala ng IPMI command nang walang karagdagang authentication).
Ang Gigabyte at Lenovo ay naabisuhan tungkol sa mga problema noong Hulyo 2018 at pinamamahalaang maglabas ng mga update bago ang impormasyon ay isiwalat sa publiko. kumpanya ng Lenovo mga update ng firmware noong Nobyembre 15, 2018 para sa ThinkServer RD340, TD340, RD440, RD540 at RD640 server, ngunit inalis lamang ang isang kahinaan sa mga ito na nagpapahintulot sa pagpapalit ng command, dahil sa panahon ng paglikha ng isang linya ng mga server batay sa MergePoint EMS noong 2014, firmware ang pag-verify ay isinagawa gamit ang isang digital na lagda ay hindi pa laganap at hindi pa inihayag.
Noong Mayo 8 ng taong ito, ang Gigabyte ay naglabas ng mga update sa firmware para sa mga motherboard na may ASPEED AST2500 controller, ngunit tulad ng Lenovo, naayos lamang nito ang kahinaan sa pagpapalit ng command. Ang mga vulnerable board na batay sa ASPEED AST2400 ay nananatiling walang update sa ngayon. Gigabyte din tungkol sa paglipat sa paggamit ng MegaRAC SP-X firmware mula sa AMI. Ang pagsasama ng bagong firmware batay sa MegaRAC SP-X ay iaalok para sa mga system na dati nang naipadala kasama ang MergePoint EMS firmware. Ang desisyon ay kasunod ng anunsyo ng Vertiv na hindi na nito susuportahan ang platform ng MergePoint EMS. Kasabay nito, wala pang naiulat tungkol sa mga update ng firmware sa mga server na ginawa ng Acer, AMAX, Bigtera, Ciara, Penguin Computing at sysGen batay sa mga Gigabyte board at nilagyan ng mahinang MergePoint EMS firmware.
Alalahanin natin na ang BMC ay isang dalubhasang controller na naka-install sa mga server, na may sariling CPU, memorya, storage at sensor polling interface, na nagbibigay ng mababang antas na interface para sa pagsubaybay at pamamahala ng kagamitan ng server. Gamit ang BMC, anuman ang operating system na tumatakbo sa server, maaari mong subaybayan ang katayuan ng mga sensor, pamahalaan ang kapangyarihan, firmware at mga disk, ayusin ang malayuang pag-boot sa network, tiyakin ang pagpapatakbo ng isang remote access console, atbp.
Pinagmulan: opennet.ru