Immagine: Eclypsium
Più di 47.000 workstation e server, forse di più, in esecuzione su schede madri Supermicro sono attualmente aperti agli attacchi perché gli amministratori hanno lasciato un componente interno esposto su internet.
Questi sistemi sono vulnerabili a una nuova serie di vulnerabilità di nome USBAnywhere che influenzano la BMC (baseboard management controller) il firmware di schede madri Supermicro.
Sono disponibili patch per risolvere il USBAnywhere vulnerabilità, ma Supermicro e gli esperti di sicurezza raccomandano di limitare l’accesso al BMC interfacce di gestione da internet, come precauzione e best practice di settore.
Quali sono Bmc?
Bmc sono componenti di parte dell’Intelligent Platform Management Interface (IPMI). IPMI è una standard e una raccolta di strumenti di solito si trova sul server e postazioni di lavoro distribuite su reti aziendali. IPMI consente agli amministratori di sistema di gestire il sistema da postazioni remote, a un livello inferiore e indipendente dal sistema operativo.
IPMI strumenti possono consentire a un amministratore remoto di collegarsi o inviare istruzioni a un PC/server ed eseguire diverse operazioni, come modificare le impostazioni del sistema operativo, reinstallare il sistema operativo, o aggiornare i driver.
Alla base di tutti i IPMI remoto soluzioni di gestione baseboard management controller. Bmc sono microcontrollori embedded in schede madri che sono dotati di una propria CPU, sistema di archiviazione, interfaccia LAN,
Bmc fungono da interfaccia tra il server/workstation hardware e un telecomando sysadmin. Sono la componente che converte tutti IPMI comandi in istruzioni per l’hardware locale e, di conseguenza, avere il pieno controllo di un computer.
A causa del tipo di accesso, l’accesso a un BMC interfaccia è molto limitato, e sono protetti con una password, di solito conosciuto da una società sysadmin solo.
Quali sono i USBAnywhere vulnerabilità
Ma la nuova ricerca pubblicata oggi, i ricercatori di sicurezza di Eclypsium detto che hanno trovato vulnerabilità in Supermicro del firmware di BMC.
Queste vulnerabilità, che hanno chiamato il USBAnywhere, l’impatto del firmware USB virtuale caratteristica, che consente amministratori di sistema, collegare un dispositivo USB nel proprio computer, ma la vedo come una virtual USB collegato in remoto, gestito da sistema, il trasferimento di dati di USB per il telecomando virtuale.
Questa caratteristica, parte del più grande BMC virtuale di servizi di media-è una piccola applicazione Java che viene servita con una BMC interfaccia web che viene fornito con Supermicro-based.
Eclypsium i ricercatori hanno detto che hanno trovato quattro problemi con l’autenticazione utilizzato da questa applicazione Java:
● Testo in chiaro di Autenticazione, Mentre l’applicazione Java utilizza un ID di sessione univoco per l’autenticazione, il servizio consente anche di un client per l’utilizzo di un testo semplice username e password.
● In chiaro il traffico di rete — la Crittografia è disponibile, ma deve essere richiesto dal cliente. L’applicazione Java fornito con sistemi interessati a utilizzare questo tipo di crittografia per l’autenticazione iniziale
pacchetto, ma poi utilizzare in chiaro i pacchetti per tutto il traffico.
● Crittografia debole — Quando viene utilizzata la crittografia, il payload è crittografato con RC4 utilizzando una chiave fissa compilato il firmware di BMC. Questa chiave è condiviso tra tutte le Supermicro Bmc. RC4 è
più pubblicato crittografia debolezze e le è stato vietato in TLS (RFC7465).
● Autenticazione di Bypass (Supermicro X10 X11 solo piattaforme) — Dopo che un client è autenticato correttamente virtuale di servizi di media e quindi scollegato, il interno stato del cliente in modo non corretto è intatto. Come lo stato interno è collegato al client socket del numero di descrittore di file, un nuovo client che capita di essere assegnato lo stesso socket numero di descrittore di file dalla BMC
OS eredita questo stato interno. In pratica, in questo modo il nuovo client di ereditare il cliente precedente autorizzazione anche quando il nuovo client tenta di autenticarsi con le credenziali errate.
Supermicro ha rilasciato patch
Eclypsium segnalati tutti e quattro i problemi di Supermicro, e il venditore patch rilasciate sul suo sito web per Supermicro X9, X10, e X11 tavole.
“Vogliamo ringraziare tutti i ricercatori che hanno identificato la BMC Virtual Media vulnerabilità,” un Supermicro portavoce ha detto a ZDNet in una e-mail la settimana scorsa.
Il venditore ha anche detto che ha lavorato a stretto contatto con Eclypsium per verificare che le correzioni funzionato come previsto, e si dovrebbe ora essere sicuro da usare.
“Le principali modifiche includono avvolgimento virtuale di servizi di media con TLS, la rimozione di testo normale funzionalità di autenticazione, e risolvere il bug che ha portato all’autenticazione di bypass,” Rick Altherr, Principal Engineer presso Eclypsium, ha detto a ZDNet in una e-mail, su Supermicro s correzioni.
Il più pericoloso bug
Dei quattro bug, il quarto è quello che ha più probabilità di causare problemi. Il bug permette un hacker di avviare connessioni ripetute per la BMC interfaccia web virtuale di servizi di media (Java app) fino a terra sullo stesso socket del server che è stato utilizzato da un legittimo admin.
Ma, mentre sfruttando questa vulnerabilità, sembra una questione di fortuna cieca, Altherr non raccomanda alle aziende di prendere una possibilità.
“Mentre le esatte condizioni che portano alla presa di numero di riutilizzo in Linux può essere complesso e, quindi, è per lo più fortuna cieca, la uso singolo utente modello virtuale di servizi di media tende ad aumentare significativamente le possibilità”, ha detto a ZDNet.
“Nel nostro test, siamo stati in grado di sfruttare in modo affidabile l’autenticazione di bypass contro un BMC settimane dopo il virtual media servizio era stato utilizzato da un utente legittimo.”
Quando questo accade, l’utente malintenzionato può interagire con la BMC, nonostante non abbia la corretta BMC credenziali.
Mentre mimando un USB sembra innocuo, il Eclypsium team di ricerca, ha detto a un utente malintenzionato in grado di “avviare il computer da un malintenzionato immagine USB, sottrarre dati su un dispositivo di archiviazione USB o utilizzare un USB virtuale Paperella di Gomma che rapidamente si esegue una sequenza di cura artigianale sequenze di tasti per eseguire praticamente qualsiasi altro tipo di hacking contro la BMC, il firmware o il server che gestisce.”
Tra 47,000 e 55.000 Supermicro Bmc esposti online
Attacchi come questi sono pericolosi quando sono realizzate con accesso fisico, ma sono ancora più pericoloso quando è eseguita tramite un telecomando vettoriale, come internet.
“Una scansione della porta TCP 623, attraverso Internet, ha rivelato 47,339 Bmc da più di 90 paesi con il virtuale interessato di servizi di media, accessibile al pubblico,” Eclypsium i ricercatori hanno detto.
Questi sistemi sono ora in pericolo di venire sotto attacco, e potenzialmente ottenere compromessa.
Gli aggressori possono impianto di malware su questi sistemi in grado di sopravvivere OS reinstallazione, o anche temporaneamente, di mattoni server, una tattica che può essere utilizzato per sabotaggio concorrenti o per estorcere i pagamenti di riscatto da organizzazioni che utilizzano sistemi esposti BMC virtual media porte.
Un BinaryEdge ricerca effettuata da ZDNet, prima di questo articolo pubblicazione trovato anche una maggiore quantità di impianti a vista — con oltre 55.000 Supermicro IPMI interfacce di esporre porta 623 online.
La stragrande maggioranza di questi sistemi su reti di centri dati e web hosting, esponendo queste aziende e i loro rispettivi clienti per USBAnywhere attacchi.
Immagine: ZDNet
Supermicro: Installare le patch, prendere Bmc internet
“Best practice del settore, è operativo Bmc su un isolato di rete privata non esposti a internet, al fine di ridurre, ma non eliminare del tutto identificati esposizione”, un Supermicro portavoce ha detto a ZDNet la scorsa settimana.
L’azienda consiglia di installare l’ultima patch completamente mitigare il USBAnywhere vettore di attacco per il bene.
Questa non è la prima volta che gli esperti di sicurezza avvertono che lasciare la BMC/IPMI gestione di interfacce accessibili da internet.
Nel 2013, accademici trovato di 100.000 IPMI sistemi abilitati da tre fornitori principali che erano raggiungibili via internet. Al momento, BMC firmware protezioni non erano standard, e tutti quei server che erano in pericolo di avere il firmware e riavviati dannoso versioni.
Sicurezza
Android app Google Play con 100 milioni di download inizia a distribuire malware
Microsoft: Utilizza autenticazione multi-fattore blocca il 99,9% degli account hack
Un nuovo IOT botnet sta infettando Android-based set-top box
Peccato per SHA-2: Symantec tale programmazione di base (ZDNet YouTube)
Il migliore fai da te sistemi di sicurezza domestica del 2019 (CNET)
Il più grande cybersecurity rischi nel settore dei servizi finanziari (TechRepublic)
Argomenti Correlati:
Centri Dati
Di sicurezza, TV
La Gestione Dei Dati
CXO