Bild: Eclypsium
Fler än 47 000 arbetsstationer och servrar, möjligen mer, kör på Supermicro moderkort är för närvarande öppen för angrepp, eftersom administratörer har lämnat en intern komponent som exponeras på internet.
Dessa system är sårbara för en ny uppsättning av sårbarheter som heter USBAnywhere att påverka baseboard management controller (BMC) firmware Supermicro moderkort.
Patchar finns tillgängliga för att fixa USBAnywhere sårbarheter, men Supermicro och säkerhetsexperter rekommenderar att du begränsar åtkomst till BMC management-gränssnitt från internet, som en säkerhetsåtgärd och för branschstandarder för bästa praxis.
Vad är BMCs?
BMCs är komponenter som en del av Intelligent Platform Management Interface (IPMI). IPMI är en standard och samling av verktyg som oftast finns på servrar och arbetsstationer i bruk på företagets nätverk. IPMI gör att systemadministratörer att hantera system från avlägsna platser, på en lägre nivå och oberoende av operativsystemet.
IPMI verktyg som kan möjliggöra en remote administrator för att ansluta eller skicka instruktioner till en PC/server och utföra olika åtgärder, till exempel ändra OS inställningar, installera OS, eller uppdatera drivrutiner.
Kärnan i alla IPMI remote management lösningar är baseboard management controllers. BMCs är mikrokontroller inbäddade i-moderkort som kommer med sin egen CPU, lagringssystem, och LAN-gränssnitt,
BMCs fungera som ett gränssnitt mellan server/workstation hårdvara och en avlägsen sysadmin. De är den del som översätter alla IPMI kommandona i instruktioner för den lokala hårdvaran, och, som en följd, har full kontroll över en dator.
På grund av den tillgång de har, tillgång till en BMC-gränssnittet är mycket begränsad, och de är skyddad med ett lösenord, vanligtvis känd på grund av ett företags sysadmin bara.
Vad är USBAnywhere sårbarheter
Men ny forskning som publiceras i dag, säkerhet forskare från Eclypsium sa att de hittat sårbarheter i Supermicro BMC: s firmware.
Dessa sårbarheter, som de heter USBAnywhere påverka firmware virtuell USB-funktionen, som låter systemadministratörer koppla in en USB-till sin egen dator, utan se det som en virtuell USB-ansluten till en distans-lyckades system för överföring av data från sina lokala USB-fjärrkontrollen virtuella.
Denna funktion-en del av den större BMC virtuell media service-är ett litet Java-program som serveras via standard BMC webbgränssnitt som levereras med Supermicro-baserade system.
Eclypsium forskare sade att de hade fyra problem med autentisering kan användas av Java-programmet:
● Klartext Autentisering — Medan Java-programmet använder ett unikt sessions-ID för autentisering, service tillåter klienten att använda en vanlig användarnamn och lösenord.
● Okrypterat nätverk trafik — Kryptering finns tillgängligt men måste bokas av kunden. Det Java-program som tillhandahålls med de drabbade systemen använda kryptering för första autentisering
paket men då använder okrypterade paket för all annan trafik.
● Svag kryptering — När kryptering som används, nyttolasten är krypterad med RC4 med hjälp av en fast nyckel sammanställs i BMC: s firmware. Denna nyckel som delas mellan alla Supermicro BMCs. RC4 har
flera publicerade kryptografiska svagheter och har varit förbjuden att använda i TLS (RFC7465).
● Verifiering Bypass (Supermicro X10 och X11-plattformar) – Efter att en kund har rätt autentiserad till den virtuella media service och sedan kopplas från, en del av tjänsten är inre tillstånd om att kunden är felaktigt intakt. Som det inre tillståndet är kopplat till kundens uttag fil deskriptor nummer, en ny kund som råkar vara samma uttag fil deskriptor nummer av BMC: s
OS ärver detta inre tillstånd. I praktiken gör detta den nya klienten att ärva den tidigare klientens tillstånd även när den nya kunden försök till autentisering med felaktiga referenser.
Supermicro har släppt patchar
Eclypsium rapporterade alla fyra frågor till Supermicro, och säljaren släppt patchar på sin hemsida för Supermicro X9 X10 och X11 styrelser.
“Vi vill tacka de forskare som har identifierats i BMC Virtuell Media sårbarhet”, en Supermicro talesperson berättade ZDNet i ett mail förra veckan.
Säljaren sa också att det arbetade i nära samarbete med Eclypsium för att validera att de fixar fungerade som avsett, och de bör nu vara säkra att använda.
“Viktiga förändringar innefattar inslagning virtuell media service med TLS, ta bort klartext funktioner för autentisering, och att fixa felet som ledde till autentisering bypass,” Rick Altherr, Principal Engineer på Eclypsium, berättade ZDNet i ett e-postmeddelande, om Supermicro är åtgärdas.
Den mest farliga fel
Av de fyra buggar, den fjärde är den som är mest sannolik att orsaka problem. Felet gör det möjligt för en hackare att inleda upprepade anslutningar till BMC webbgränssnitt virtuella media service (Java-appen) tills de landar på samma server socket som används av en legitim admin.
Men samtidigt utnyttja denna sårbarhet verkar som en fråga om blinda lycka, Altherr rekommenderar inte att företag tar en chans.
“Medan de exakta villkor som leder till uttag nummer återanvändning i Linux kan vara komplicerat och därför är det oftast blinda lycka, den enda användare användning modell av den virtuella media service tenderar att kraftigt öka chanserna”, sa han till ZDNet.
“I våra tester, kunde vi på ett tillförlitligt sätt utnyttja autentisering bypass mot en BMC veckor efter den virtuella medier hade använts av en legitim användare.”
När detta händer, angriparen kan interagera med BMC, trots att de inte har rätt BMC referenser.
Medan härma en USB-ser ofarligt, det Eclypsium forskning team sa en angripare kan “starta maskinen från en skadlig USB-bild, exfiltrate data via en USB-masslagringsenhet, eller använda en virtuell USB-Rubber Ducky att snabbt utför en sekvens av noggrant utformade knapptryckningar för att utföra i stort sett alla andra typer av dataintrång mot BMC, den fasta programvaran eller servern som det förvaltar.”
Mellan 47,000 och 55,000 Supermicro BMCs utsatt online
Attacker som dessa är farliga när de utförs med fysisk tillgång, men de är ännu farligare när det utförs via en fjärrkontroll vektor som internet.
“En genomsökning av TCP-port 623 över Internet visade 47,339 BMCs från över 90 olika länder med berörda virtuella media tjänsten allmänt tillgänglig,” Eclypsium forskarna säger.
Dessa system är nu i fara av att komma under attack, och eventuellt få äventyras.
Angripare kan plantera skadlig kod på dessa system som kan överleva OS installerar, eller ens tillfälligt tegel servrar, en taktik som kan användas för att sabotera för konkurrenter eller för att utpressa lösen betalningar från organisationer som driver system med synliga BMC virtuella medier hamnar.
En BinaryEdge sökning som utförs av ZDNet innan denna artikel publicerades hittade även en större mängd utsätts system-med över 55 000 Supermicro IPMI gränssnitt utsätta port 623 online.
De allra flesta av dessa system var på nätverk av datacenter och webbhotell, exponera dessa bolag och deras respektive kunder att USBAnywhere attacker.
Bild: ZDNet
Supermicro: Installera patchar, ta BMCs från internet
“Bästa praxis i branschen är verksamma BMCs på en isolerad privata nät inte utsätts för internet, vilket skulle minska, men inte eliminera identifierade exponering,” en Supermicro talesperson berättade ZDNet förra veckan.
Företaget rekommenderar sina kunder att installera de senaste uppdateringarna för att helt mildra USBAnywhere angrepp på bra.
Detta är inte första gången som säkerhetsexperter varnar om att lämna BMC/management IPMI-gränssnitt tillgängligt från internet.
I 2013, akademiker finns 100,000 IPMI-aktiverat system från tre större leverantörer som nås via internet. På den tiden, BMC firmware skydd var inte en standard, och alla dessa servrar var i fara av att ha sin firmware reflashed med skadlig versioner.
Säkerhet
Android på Google Play app med 100 miljoner nedladdningar börjar leverera malware
Microsoft: med Hjälp av multi-faktor autentisering block 99,9% av konto hacks
En ny sakernas internet botnet är att infektera Android-baserade set-top-boxar
Synd om SHA-2: Symantec flunkar grundläggande programmering (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
De största it-säkerhet risker i den finansiella sektorn (TechRepublic)
Relaterade Ämnen:
Datacenter
Säkerhet-TV
Hantering Av Data
CXO