神仙公司 联想ThinkServer服务器提供的BMC控制器固件存在两个漏洞,允许本地用户更改固件或在BMC芯片端执行任意代码。
进一步分析表明,这些问题还影响了技嘉企业服务器服务器平台中使用的BMC控制器的固件,该平台也用于Acer、AMAX、Bigtera、Ciara、PenguinComputing和sysGen等公司的服务器中。 有问题的 BMC 控制器使用了由第三方供应商 Avocent(现为 Vertiv 的一个部门)开发的易受攻击的 MergePoint EMS 固件。
第一个漏洞是由于下载的固件更新缺乏密码验证造成的(仅使用CRC32校验和验证,相反 NIST 使用数字签名),这允许具有系统本地访问权限的攻击者欺骗 BMC 固件。 例如,该问题可用于深度集成 rootkit,该 rootkit 在重新安装操作系统后仍保持活动状态并阻止进一步的固件更新(要消除 rootkit,您将需要使用编程器重写 SPI 闪存)。
第二个漏洞存在于固件更新代码中,允许您替换自己的命令,该命令将以最高级别的权限在 BMC 中执行。 要进行攻击,只需更改bmcfwu.cfg配置文件中RemoteFirmwareImageFilePath参数的值即可,通过该参数确定更新固件映像的路径。 在下一次更新期间(可以通过 IPMI 中的命令启动),此参数将由 BMC 处理并用作 popen() 调用的一部分,作为 /bin/sh 行的一部分。 由于生成 shell 命令的行是使用 snprintf() 调用创建的,而没有正确清理特殊字符,因此攻击者可以替换其代码来执行。 要利用此漏洞,您必须拥有允许通过 IPMI 向 BMC 控制器发送命令的权限(如果您拥有服务器的管理员权限,则无需额外身份验证即可发送 IPMI 命令)。
技嘉和联想早在 2018 年 XNUMX 月就收到了有关问题的通知,并设法在信息公开之前发布了更新。 联想公司 15 年 2018 月 340 日对 ThinkServer RD340、TD440、RD540、RD640 和 RD2014 服务器进行了固件更新,但仅消除了其中允许命令替换的漏洞,因为在 XNUMX 年创建基于 MergePoint EMS 的一系列服务器期间,固件使用数字签名进行验证尚未广泛使用,最初也没有宣布。
今年8月2500日,技嘉发布了采用ASPEED AST2400控制器的主板的固件更新,但与联想一样,仅修复了命令替换漏洞。 基于 ASPEED ASTXNUMX 的易受攻击的主板目前仍没有更新。 技嘉也有 关于过渡到使用 AMI 的 MegaRAC SP-X 固件。 之前附带 MergePoint EMS 固件的系统将提供基于 MegaRAC SP-X 的新固件。 该决定是在 Vertiv 宣布将不再支持 MergePoint EMS 平台之后做出的。 与此同时,目前还没有关于 Acer、AMAX、Bigtera、Ciara、PenguinComputing 和 sysGen 制造的基于 Gigabyte 主板并配备易受攻击的 MergePoint EMS 固件的服务器固件更新的报道。
让我们回想一下,BMC是安装在服务器中的专用控制器,它有自己的CPU、内存、存储和传感器轮询接口,它为监视和管理服务器设备提供了低级接口。 使用BMC,无论服务器上运行何种操作系统,您都可以监控传感器的状态、管理电源、固件和磁盘、通过网络组织远程启动、确保远程访问控制台的运行等。
来源: opennet.ru