Công ty Eclypsium hai lỗ hổng trong phần sụn của bộ điều khiển BMC được cung cấp trong máy chủ Lenovo ThinkServer, cho phép người dùng cục bộ thay đổi phần sụn hoặc thực thi mã tùy ý trên phía chip BMC.
Phân tích sâu hơn cho thấy những sự cố này cũng ảnh hưởng đến phần sụn của bộ điều khiển BMC được sử dụng trong nền tảng máy chủ Gigabyte Enterprise Servers, vốn cũng được sử dụng trong các máy chủ của các công ty như Acer, AMAX, Bigtera, Ciara, Penguin Computing và sysGen. Bộ điều khiển BMC có vấn đề đã sử dụng chương trình cơ sở MergePoint EMS dễ bị tấn công do nhà cung cấp bên thứ ba Avocent (hiện là một bộ phận của Vertiv) phát triển.
Lỗ hổng đầu tiên là do thiếu xác minh mật mã của các bản cập nhật chương trình cơ sở đã tải xuống (chỉ sử dụng xác minh tổng kiểm tra CRC32, ngược lại). NIST sử dụng chữ ký số), cho phép kẻ tấn công có quyền truy cập cục bộ vào hệ thống để giả mạo phần sụn BMC. Ví dụ: vấn đề có thể được sử dụng để tích hợp sâu một rootkit vẫn hoạt động sau khi cài đặt lại hệ điều hành và chặn các bản cập nhật chương trình cơ sở tiếp theo (để loại bỏ rootkit, bạn sẽ cần sử dụng một lập trình viên để viết lại flash SPI).
Lỗ hổng thứ hai tồn tại trong mã cập nhật chương trình cơ sở và cho phép bạn thay thế các lệnh của riêng mình, các lệnh này sẽ được thực thi trong BMC với mức đặc quyền cao nhất. Để tấn công, chỉ cần thay đổi giá trị của tham số RemoteFirmwareImageFilePath trong tệp cấu hình bmcfwu.cfg, qua đó xác định đường dẫn đến hình ảnh của phần sụn đã cập nhật. Trong lần cập nhật tiếp theo, có thể được khởi tạo bằng một lệnh trong IPMI, tham số này sẽ được BMC xử lý và sử dụng như một phần của lệnh gọi popen() như một phần của dòng cho /bin/sh. Do dòng tạo lệnh shell được tạo bằng lệnh gọi snprintf() mà không làm sạch các ký tự đặc biệt đúng cách, nên kẻ tấn công có thể thay thế mã của chúng để thực thi. Để khai thác lỗ hổng, bạn phải có quyền cho phép gửi lệnh đến bộ điều khiển BMC thông qua IPMI (nếu có quyền quản trị viên trên máy chủ, bạn có thể gửi lệnh IPMI mà không cần xác thực bổ sung).
Gigabyte và Lenovo đã được thông báo về sự cố này vào tháng 2018 năm XNUMX và đã cố gắng phát hành các bản cập nhật trước khi thông tin được tiết lộ công khai. Công ty Lenovo bản cập nhật chương trình cơ sở vào ngày 15 tháng 2018 năm 340 cho các máy chủ ThinkServer RD340, TD440, RD540, RD640 và RD2014, nhưng chỉ loại bỏ lỗ hổng trong đó cho phép thay thế lệnh, vì trong quá trình tạo dòng máy chủ dựa trên MergePoint EMS vào năm XNUMX, chương trình cơ sở việc xác minh được thực hiện bằng chữ ký số vẫn chưa phổ biến và chưa được công bố ban đầu.
Vào ngày 8 tháng 2500 năm nay, Gigabyte đã phát hành bản cập nhật firmware cho bo mạch chủ với bộ điều khiển ASPEED AST2400, nhưng giống như Lenovo, hãng chỉ vá lỗ hổng thay thế lệnh. Các bo mạch dễ bị tổn thương dựa trên ASPEED ASTXNUMX hiện vẫn chưa có bản cập nhật. Gigabyte cũng vậy về quá trình chuyển đổi sang sử dụng firmware MegaRAC SP-X từ AMI. Bao gồm phần sụn mới dựa trên MegaRAC SP-X sẽ được cung cấp cho các hệ thống trước đây được cung cấp phần mềm MergePoint EMS. Quyết định này được đưa ra sau thông báo của Vertiv rằng họ sẽ không còn hỗ trợ nền tảng MergePoint EMS nữa. Đồng thời, chưa có báo cáo nào về các bản cập nhật chương trình cơ sở trên các máy chủ do Acer, AMAX, Bigtera, Ciara, Penguin Computing và sysGen sản xuất dựa trên bo mạch Gigabyte và được trang bị chương trình cơ sở MergePoint EMS dễ bị tấn công.
Chúng ta hãy nhớ lại rằng BMC là một bộ điều khiển chuyên dụng được cài đặt trong các máy chủ, có giao diện thăm dò CPU, bộ nhớ, lưu trữ và cảm biến riêng, cung cấp giao diện cấp thấp để giám sát và quản lý thiết bị máy chủ. Sử dụng BMC, bất kể hệ điều hành đang chạy trên máy chủ, bạn có thể theo dõi trạng thái của cảm biến, quản lý nguồn, chương trình cơ sở và ổ đĩa, tổ chức khởi động từ xa qua mạng, đảm bảo hoạt động của bảng điều khiển truy cập từ xa, v.v.
Nguồn: opennet.ru