Afbeelding: Eclypsium
Meer dan 47.000 aan werkstations en servers, misschien meer, die op de Supermicro moederborden zijn momenteel open voor aanvallen, omdat de beheerders hebben links een interne component bloot op het internet.
Deze systemen zijn kwetsbaar voor een nieuwe set van kwetsbaarheden naam USBAnywhere die van invloed zijn op het baseboard management controller (BMC) firmware van Supermicro moederborden.
Patches zijn beschikbaar voor het oplossen van de USBAnywhere kwetsbaarheden, maar de Supermicro en security-experts raden het beperken van de toegang tot BMC management interfaces van het internet, uit voorzorg en best practice.
Wat zijn BMCs?
BMCs zijn onderdelen onderdeel van het Intelligent Platform Management Interface (IPMI). IPMI is een collectie van tools meestal te vinden op servers en werkstations ingezet op bedrijfsnetwerken. IPMI, kunnen beheerders beheren van systemen van externe locaties, op een lager niveau en onafhankelijk van het besturingssysteem.
IPMI-tools kunt u een externe beheerder van de verbinding of stuur instructies naar een PC/server en het uitvoeren van diverse bewerkingen, zoals het wijzigen van OS-instellingen opnieuw installeren van het OS, of de stuurprogramma ‘ s bijwerken.
De kern van alle IPMI remote management oplossingen zijn baseboard management controllers. BMCs zijn embedded microcontrollers in moederborden die zijn uitgerust met hun eigen CPU, opslag en LAN-interface,
BMCs fungeren als een interface tussen de server/werkstation hardware en een externe systeembeheerder. Ze zijn het onderdeel dat vertaalt alle IPMI-commando ‘ s in de instructies voor de lokale hardware, en, als gevolg daarvan, hebben de volledige controle over een computer.
Vanwege de toegang die ze hebben, de toegang tot een BMC interface is zeer beperkt, en ze zijn beveiligd met een wachtwoord, meestal bekend door een bedrijf sysadmin alleen.
Wat zijn de USBAnywhere kwetsbaarheden
Maar in een nieuw onderzoek dat vandaag wordt gepubliceerd, veiligheid onderzoekers van Eclypsium zei ze gevonden kwetsbaarheden in de Supermicro de BMC firmware.
Deze kwetsbaarheden, die ze de naam USBAnywhere, de impact van de firmware van de virtuele USB-functie, waarmee systeembeheerders steek een USB-stick in hun computer, maar zie het als een virtuele USB aangesloten op een op afstand beheerde systeem, de overdracht van gegevens van hun lokale USB om de afstandsbediening virtuele.
Deze functie-een deel van het grotere BMC virtuele media service — is een kleine Java-toepassing die wordt aangeboden via de standaard BMC-web-interface die wordt geleverd met de Supermicro-systemen.
Eclypsium onderzoekers zeiden dat ze vonden vier problemen met de verificatie dat wordt gebruikt door deze Java-toepassing:
● Plaintext Authentication — Terwijl de Java applicatie maakt gebruik van een unieke sessie-ID voor verificatie, de service ook kan de klant gebruik maken van een leesbare inlognaam en wachtwoord.
● Niet-versleuteld netwerkverkeer — Codering is beschikbaar, maar moet worden aangevraagd door de opdrachtgever. De Java-toepassing met de getroffen systemen maken gebruik van deze codering voor de eerste verificatie
pakket maar dan gebruik van niet-versleutelde pakketjes voor al het andere verkeer.
● Zwakke encryptie — Wanneer de codering is gebruikt, het laadvermogen is gecodeerd met RC4 met behulp van een vaste toets samengesteld in het BMC-firmware. Deze sleutel wordt verdeeld over alle Supermicro BMCs. RC4 is
meerdere gepubliceerd cryptografische zwakke punten en zijn uitgesloten van gebruik in TLS (RFC7465).
● Authenticatie Omzeilen (Supermicro X10 en X11-platforms) — Na een cliënt heeft de juiste machtigingen voor de virtuele media service en vervolgens losgekoppeld, sommige van de service aan de interne status van die klant is onjuist intact. Als de interne status is gekoppeld aan de client socket file descriptor nummer, een nieuwe klant, dat gebeurt te zijn toegewezen dezelfde socket file descriptor aantal door de BMC
OS neemt deze interne toestand. In de praktijk kan de nieuwe klant om te erven van de vorige klant toestemming, zelfs wanneer de nieuwe client probeert te verifiëren met onjuiste referenties.
Supermicro heeft patches uitgebracht
Eclypsium gerapporteerd alle vier de thema ‘ s te Supermicro, en de verkoper patches uitgebracht op de website voor de Supermicro X9 X10 en X11 planken.
“Wij willen de onderzoekers die hebben vastgesteld dat de BMC Virtuele Media kwetsbaarheid,” een Supermicro woordvoerder vertelde ZDNet in een e-mail van vorige week.
De verkoper zei ook dat het werkte nauw samen met Eclypsium om te valideren dat de correcties werkten zoals de bedoeling is, en ze moet nu veilig om te gebruiken.
“Belangrijke veranderingen zijn het inpakken van de virtuele media service met TLS, het verwijderen van plaintext authentication functionaliteit, en het oplossen van de bug die hebben geleid tot het omzeilen van verificatie,” Rick Altherr, hoofdingenieur bij Eclypsium, vertelde ZDNet in een e-mail over de Supermicro ‘ s worden opgelost.
De meest gevaarlijke bug
Van de vier bugs, de vierde is het meest waarschijnlijk om problemen te veroorzaken. De bug kan een kwaadwillige hacker te starten herhaald verbindingen naar het BMC-web-interface van de virtuele media service (Java app) totdat ze het land op de zelfde server socket die werd gebruikt door een legitiem admin.
Maar terwijl het benutten van deze kwetsbaarheid lijkt een kwestie van blind geluk, Altherr niet raden dat bedrijven een kans.
“Hoewel de exacte voorwaarden die leiden tot socket aantal hergebruik in Linux kan complex zijn en het is dus meestal blind geluk, de single-user gebruik model van de virtuele media service heeft de neiging om een aanzienlijke verhoging van de kans,” zei hij tegen ZDNet.
“In onze testen, waren we in staat om op een betrouwbare manier exploiteren van de authentication bypass tegen een BMC weken na de virtuele media service is gebruikt door een rechtmatige gebruiker.”
Wanneer dit gebeurt, kan de aanvaller op zijn interactie met de BMC, ondanks het niet hebben van de juiste BMC referenties.
Hoewel het nabootsen van een USB-lijkt onschuldig, de Eclypsium onderzoeksteam gezegd kan een aanvaller “start de machine van een kwaadaardige USB image, exfiltrate gegevens via een USB-apparaat voor massa-opslag, of gebruik maken van een virtuele USB-Rubber Ducky die snel kunnen voert een reeks van zorgvuldig gemaakte toetsaanslagen uit te voeren op vrijwel elke andere vorm van hacken tegen de BMC, de firmware, of de server die deze beheert.”
Tussen de 47.000 en 55,000 Supermicro BMCs blootgesteld online
Aanvallen zoals deze zijn gevaarlijk wanneer uitgevoerd met fysieke toegang, maar ze zijn nog gevaarlijk wanneer uitgevoerd via een externe vector, zoals het internet.
“Een scan van de TCP-poort 623 via het Internet geopenbaarde 47,339 BMCs van meer dan 90 verschillende landen met de betrokken virtuele media service voor het publiek toegankelijk” Eclypsium onderzoekers gezegd.
Deze systemen zijn nu in gevaar te komen onder aanval, en mogelijk krijgen in het gedrang.
Aanvallers kunnen planten malware op deze systemen die kunnen overleven OS opnieuw installeren, of zelfs tijdelijk baksteen servers, een tactiek die gebruikt kan worden om sabotage concurrenten of voor losgeld af te persen van betalingen van organisaties draaiende systemen met zichtbare BMC virtuele media-poorten.
Een BinaryEdge zoekopdracht uitgevoerd door ZDNet voordat dit artikel is de publicatie gevonden, zelfs een grotere hoeveelheid blootgesteld systemen-met meer dan 55.000 Supermicro IPMI-interfaces bloot haven 623 online.
De overgrote meerderheid van deze systemen op het netwerk van datacenters en web hosting providers, waardoor deze bedrijven en hun respectievelijke klanten te USBAnywhere aanvallen.
Afbeelding: ZDNet
Supermicro: patches te Installeren, neem BMCs van het internet
“Best practices in de branche actief BMCs op een afgelegen privé-netwerk niet wordt blootgesteld aan het internet, dat zou verminderen, maar niet elimineren de geïdentificeerde blootstelling,” een Supermicro woordvoerder vertelde ZDNet vorige week.
De onderneming adviseert klanten installeer de laatste patches volledig inperken van de USBAnywhere aanval voor het goede.
Dit is niet de eerste keer dat de beveiliging deskundigen zijn waarschuwing over het verlaten van BMC/IPMI management interfaces toegankelijk is vanaf het internet.
In 2013, academici vinden van 100.000 IPMI-enabled systemen van de drie grote leveranciers die bereikbaar is via het internet. Op het moment, BMC firmware beveiligingen niet standaard, en alle servers die in gevaar waren van hun firmware reflashed met kwaadaardige versies.
Veiligheid
Android Google Play-app met 100 miljoen downloads begint te leveren malware
Microsoft: het Gebruik van multi-factor authenticatie blokken 99,9% van de account hacks
Een nieuwe IOT botnet is het infecteren van Android-gebaseerde set-top boxes
Schande over SHA-2: Symantec flunks basic programmeren (ZDNet YouTube)
De beste DIY home security systems 2019 (CNET)
De grootste cybersecurity risico ‘ s in de financiële sector (TechRepublic)
Verwante Onderwerpen:
Datacenters
Beveiliging TV
Data Management
CXO