Уязвимости в Supermicro BMCs могут привести к появлению неубиваемых серверных руткитов

Благодаря возможности управлять огромным количеством серверов, BMC являются идеальными местами для хранения вредоносных программ.

Если ваша организация использует серверы, оснащенные контроллерами управления базовыми платами от Supermicro, возможно, пришло время еще раз исправить семь уязвимостей высокой степени серьезности, которые злоумышленники могут использовать для получения контроля над ними. И извините, но исправления должны быть установлены вручную.

Обычно сокращаемые как BMCs, контроллеры управления базовыми платами представляют собой небольшие микросхемы, которые припаиваются к материнской плате серверов внутри центров обработки данных. Администраторы полагаются на эти мощные контроллеры для различных возможностей удаленного управления, включая установку обновлений, мониторинг температуры и соответствующую настройку скорости вращения вентиляторов, а также перепрошивку системного программного обеспечения UEFI, которое позволяет серверам загружать свои операционные системы во время перезагрузки. BMC предоставляют эти возможности и многое другое, даже когда серверы, к которым они подключены, выключены.
Выполнение кода внутри BMC? Ага

Хакеры не упустили возможности использования уязвимостей в BMCS для получения контроля над серверами. В 2021 году хакеры воспользовались уязвимостью в BMCs от HP Enterprise и установили пользовательский руткит, сообщили в том же году исследователи из Amnpardaz, охранной фирмы в Иране. ILObleed, как исследователи назвали руткит, спрятался внутри iLO, модуля в HPE BMCs, сокращенно от Integrated Lights-Out.

ILObleed был запрограммирован на уничтожение данных, хранящихся на диске. Если администраторы переустановят операционную систему, iLObleed останется нетронутым и повторно активирует атаку с удалением данных с диска. Неизвестные злоумышленники, ответственные за это, взяли под контроль BMCS, воспользовавшись уязвимостью, которую HPE исправила четырьмя годами ранее. В июне Агентство национальной безопасности призвало администраторов следовать рекомендациям по предотвращению подобных инцидентов.

Исследователи из охранной фирмы Binarly во вторник раскрыли семь серьезных уязвимостей в встроенном ПО IPMI (Intelligent Platform Management Interface) для старых BMC Supermicro. В сообщении Supermicro говорится, что уязвимости затрагивают "некоторые материнские платы X11, H11, B11, CMM, M11 и H12". Консультант также поблагодарил Бинарли и предоставил информацию об исправлениях. Автоматического способа установки обновлений не существует. Supermicro заявила, что ей неизвестно о каком-либо злонамеренном использовании уязвимостей в дикой природе.

Одна из семи уязвимостей, отслеживаемая как CVE-2023-40289, позволяет выполнять вредоносный код внутри BMC, но есть загвоздка: для использования уязвимости требуются уже полученные административные привилегии в веб-интерфейсе, используемом для настройки и управления BMC. Вот тут-то и проявляются остальные шесть уязвимостей. Все шесть из них допускают межсайтовые скриптовые атаки, или XSS, на компьютеры, используемые администраторами. Сценарий эксплойта заключается в использовании одного или нескольких из них в сочетании с CVE-2023-40289.

В электронном письме основатель и генеральный директор Binarly Алекс Матросов написал:

Администраторы могут удаленно взаимодействовать с Supermicro BMCs по различным протоколам, включая SSH, IPMI, SNMP, WSMAN и HTTP/HTTPS. Обнаруженные двоичные файлы уязвимостей могут быть использованы с помощью HTTP. В то время как АНБ и многие другие специалисты по безопасности настоятельно призывают изолировать интерфейсы BMC от Интернета, есть свидетельства того, что этот совет обычно игнорируется. Недавний запрос в поисковую систему Shodan выявил более 70 000 экземпляров Supermicro BMC, веб-интерфейс IPMI которых находится в открытом доступе.



Схема использования уязвимостей на серверах с интерфейсами Supermicro, раскрытыми таким образом, проиллюстрирована ниже:



В опубликованном во вторник посте исследователи Binarly написали:

Все обнаруженные двоичные файлы уязвимостей исходят из прошивки IPMI стороннего разработчика ATEN, разработанной для Supermicro. Хотя ATEN исправил CVE-2023-40289 шесть месяцев назад, исправление так и не попало в прошивку.

“Это проблема цепочки поставок, потому что эти уязвимости могут потенциально затронуть других поставщиков BMC”, - написал Матросов.

Высокая степень тяжести, да, но насколько высокая?

Краткое описание уязвимостей приведено ниже:
CVE-2023-40289
Чтобы воспользоваться уязвимостью, злоумышленнику необходимо войти в BMC с правами администратора. Непроверенное входное значение может позволить злоумышленнику выполнить ввод команды.
Оценка Supermicro CVSSv3: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

CVE-2023-40284
CVE-2023-40287
CVE-2023-40288
Атака с высоким уровнем XSS Злоумышленник может отправить фишинговую ссылку, которая не требует входа в систему, обманом заставив администраторов BMC перейти по этой ссылке, пока они все еще находятся в системе и, таким образом, проходят аутентификацию с помощью веб-интерфейса BMC.
Оценка Supermicro CVSSv3: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)

CVE-2023-40290
Атака с высоким уровнем XSS Злоумышленник может отправить фишинговую ссылку, не требующую входа в систему, обманом заставив администраторов BMC перейти по этой ссылке, пока они все еще находятся в системе и, таким образом, проходят аутентификацию с помощью веб-интерфейса BMC. Этой уязвимостью можно воспользоваться только с помощью браузера Windows IE11.
Оценка Supermicro CVSSv3: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)

CVE-2023-40285
Атака с высоким уровнем XSS Злоумышленник может отправить фишинговую ссылку, которая не требует входа в систему, обманом заставив администраторов BMC перейти по этой ссылке, пока они все еще находятся в системе и, таким образом, проходят аутентификацию с помощью веб-интерфейса BMC. Злоумышленник отравляет файлы cookie браузера администратора, чтобы создать нового пользователя.
Оценка Supermicro CVSSv3: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)

CVE-2023-40286
Атака с высоким уровнем XSS Злоумышленник может отправить фишинговую ссылку, не требующую входа в систему, обманом заставив администраторов BMC перейти по этой ссылке, пока они все еще находятся в системе и, таким образом, проходят аутентификацию с помощью веб-интерфейса BMC. Злоумышленник использует файлы cookie браузера администратора и локальное хранилище, чтобы создать нового пользователя.
Оценка Supermicro CVSSv3: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)

В сообщении, опубликованном во вторник, Binarly выразил несогласие с оценками серьезности, присвоенными Supermicro уязвимостям, которые варьировались от 7,2 до 8,3 из максимальных 10. Баллы, присвоенные двоичным кодом, были значительно выше, варьируясь от 8,3 до 9,6.

Краткое описание двоичного файла выглядело следующим образом:


“К сожалению, как обычно бывает в процессе раскрытия информации, поставщик попытался уменьшить конечное воздействие задокументированных уязвимостей”, - написали исследователи. “Мы считаем, что это крайне неправильная позиция, поскольку конечные клиенты будут иметь неверную информацию при оценке серьезности конкретного обновления”.

05.10.2023
https://arstechnica.com/security/20...s-could-allow-for-unkillable-server-rootkits/​