神仙公司 聯想ThinkServer伺服器提供的BMC控制器韌體有兩個漏洞,允許本地用戶更改韌體或在BMC晶片端執行任意程式碼。
進一步分析表明,這些問題也影響了技嘉企業伺服器伺服器平台中使用的BMC控制器的韌體,該平台也用於Acer、AMAX、Bigtera、Ciara、PenguinComputing和sysGen等公司的伺服器中。 有問題的 BMC 控制器使用了由第三方供應商 Avocent(現為 Vertiv 的一個部門)開發的易受攻擊的 MergePoint EMS 韌體。
第一個漏洞是由於下載的韌體更新缺乏密碼驗證所造成的(僅使用CRC32校驗和驗證,相反 NIST 使用數位簽章),這允許具有系統本機存取權限的攻擊者欺騙 BMC 韌體。 例如,該問題可用於深度整合 rootkit,該 rootkit 在重新安裝作業系統後仍保持活動狀態並阻止進一步的韌體更新(要消除 rootkit,您將需要使用程式設計器重寫 SPI 快閃記憶體)。
第二個漏洞存在於韌體更新程式碼中,允許您取代自己的命令,該命令將以最高等級的權限在 BMC 中執行。 若要進行攻擊,只需更改bmcfwu.cfg設定檔中RemoteFirmwareImageFilePath參數的值即可,透過此參數確定正在更新的韌體映像的路徑。 在下一次更新期間(可以透過 IPMI 中的命令啟動),此參數將由 BMC 處理並用作 popen() 呼叫的一部分,作為 /bin/sh 行的一部分。 由於生成 shell 命令的行是使用 snprintf() 呼叫創建的,而沒有正確清理特殊字符,因此攻擊者可以替換其代碼來執行。 若要利用此漏洞,您必須擁有允許透過 IPMI 向 BMC 控制器傳送命令的權限(如果您擁有伺服器的管理員權限,則無需額外驗證即可傳送 IPMI 命令)。
技嘉和聯想早在 2018 年 XNUMX 月就收到了有關問題的通知,並設法在資訊公開之前發布了更新。 聯想公司 15 年 2018 月 340 日對 ThinkServer RD340、TD440、RD540、RD640 和 RD2014 伺服器進行了韌體更新,但僅消除了其中允許命令替換的漏洞,因為在 XNUMX 年創建基於 MergePoint EMS 的一系列伺服器期間,韌體使用數位簽名進行驗證尚未廣泛使用,最初也沒有宣布。
今年8月2500日,技嘉發布了採用ASPEED AST2400控制器的主機板的韌體更新,但與聯想一樣,僅修復了命令替換漏洞。 基於 ASPEED ASTXNUMX 的易受攻擊的主機板目前仍沒有更新。 技嘉也有 關於過渡到使用 AMI 的 MegaRAC SP-X 韌體。 先前附帶 MergePoint EMS 韌體的系統將提供基於 MegaRAC SP-X 的新韌體。 該決定是在 Vertiv 宣布將不再支援 MergePoint EMS 平台之後做出的。 同時,目前還沒有關於 Acer、AMAX、Bigtera、Ciara、PenguinComputing 和 sysGen 製造的基於 Gigabyte 主機板並配備易受攻擊的 MergePoint EMS 韌體的伺服器韌體更新的報告。
讓我們回想一下,BMC是安裝在伺服器中的專用控制器,它有自己的CPU、記憶體、儲存和感測器輪詢接口,它為監視和管理伺服器設備提供了低階接口。 使用BMC,無論伺服器上運行何種作業系統,您都可以監控感測器的狀態、管理電源、韌體和磁碟、透過網路組織遠端啟動、確保遠端存取控制台的運作等。
來源: opennet.ru