Billede: Eclypsium
Mere end 47.000 arbejdsstationer og servere, eventuelt flere, der kører på Supermicro bundkort er i øjeblikket åben for angreb, fordi administratorer har efterladt en intern komponent eksponeret på internettet.
Disse systemer er sårbare over for en række nye sårbarheder opkaldt USBAnywhere at påvirke baseboard management controller, BMC () firmware Supermicro bundkort.
Patches er til rådighed til at fastsætte USBAnywhere sårbarheder, men Supermicro og sikkerhedseksperter anbefaler at begrænse adgangen til BMC management interfaces fra internettet, som en sikkerhedsforanstaltning og bedste praksis i industrien.
Hvad er BMCs?
BMCs er komponenter er en del af Intelligent Platform Management Interface (IPMI). IPMI er en standard og en samling af værktøjer, som normalt findes på servere og arbejdsstationer indsat på virksomhedens netværk. IPMI tillader systemadministratorer at styre systemer fra eksterne placeringer, på et lavere niveau, og er uafhængigt af operativsystemet.
IPMI værktøjer kan tillade, at en remote administrator for at tilslutte eller sende instruktioner til en PC/server, og udføre forskellige operationer, såsom at ændre OS indstillinger, skal du geninstallere OS, eller opdatere drivere.
I kernen af alle IPMI remote management løsninger er baseboard management controller. BMCs er mikrocontrollere, der er indlejret i bundkort, der er udstyret med egen CPU, storage system, og LAN interface,
BMCs fungere som et interface mellem server/arbejdsstation hardware og en ekstern sysadmin. De er den komponent, der oversætter alle IPMI-kommandoer i vejledningen til den lokale hardware, og som et resultat, har fuld kontrol over en computer.
På grund af den adgang, de har adgang til en BMC interface er meget begrænset, og de er sikret med et password, normalt kendt som en virksomheds sysadmin kun.
Hvad er USBAnywhere sårbarheder
Men ny forskning offentliggjort i dag, sikkerhed forskere fra Eclypsium sagde, at de fundne sårbarheder i Supermicro ‘ s BMC firmware.
Disse sårbarheder, som de kaldte USBAnywhere, virkningen af firmware ‘ s virtuelle USB-funktion, som giver systemadministratorer sæt en USB i deres egen computer, men se det som en virtuel USB-tilsluttet et eksternt administreret system, overføre data fra deres lokale USB-til den eksterne virtuel.
Denne funktion-en del af den større BMC virtuelle medier service-er en lille Java-applikation, der er tjent via standard BMC web-grænseflade, som skibe med Supermicro-baserede systemer.
Eclypsium forskere, der sagde, at de fandt fire spørgsmål med den godkendelse, der bruges af denne Java-program:
● Alm Godkendelse — Samtidig med, at Java-programmet bruger et entydigt sessions-ID for godkendelse, at den service giver også klienten til at bruge en almindelig brugernavn og password.
● Ukrypteret netværk trafikken-Kryptering, der er til rådighed, men skal rekvireres af kunden. Java-applikation, der leveres med de berørte systemer anvender denne kryptering for den oprindelige godkendelse
pakke men så bruger ukrypteret pakker for alle andre i trafikken.
● Svag kryptering-Når kryptering benyttes, er nyttelasten er krypteret med RC4 ved hjælp af en fast nøgle, der er udarbejdet i BMC firmware. Denne nøgle er fælles på tværs af alle Supermicro BMCs. RC4 er
flere offentliggjort kryptografiske svagheder og har været forbudt at bruge i TLS (RFC7465).
● Autentificering (Supermicro X10 og X11 platforme kun) — Når en klient har korrekt godkendt til den virtuelle medier tjeneste for så at blive afbrudt, nogle af tjenesten interne tilstand om, at klienten er forkert intakt. Som det indre tilstand er knyttet til kundens socket file descriptor nummer, en ny klient, der sker for at være tildelt samme socket file descriptor antallet af BMC ‘ s
OS arver denne indre tilstand. I praksis giver mulighed for ny klient til at arve den tidligere kundens tilladelse, selv når den nye klient forsøger at godkende med forkerte oplysninger.
Supermicro har udgivet patches
Eclypsium rapporterede alle fire spørgsmål til Supermicro, og sælger frigivet patches på sin hjemmeside for Supermicro X9, X10 og X11 bestyrelser.
“Vi ønsker at takke de forskere, der har identificeret BMC Virtuelle Medier sårbarhed,” en Supermicro talsmand fortalte ZDNet i en mail i sidste uge.
Sælger sagde også, at det arbejdede tæt sammen med Eclypsium til at validere at rettelser virkede efter hensigten, og de skulle nu være sikkert at bruge.
“De væsentligste ændringer omfatter indpakning virtuelle medier service med TLS, fjerne alm godkendelse funktionalitet, og rette de fejl, der førte til autentificering,” Rick Altherr, som er ledende Ingeniør ved Eclypsium, fortalte ZDNet i en e-mail, om Supermicro ‘ s rettelser.
De mest farlige bug
Af de fire fejl, og den fjerde er den ene, der er mest tilbøjelige til at forårsage problemer. Fejlen gør det muligt for en ondsindet hacker at indlede gentagne forbindelser til BMC web-interface ‘ s virtuelle medier service (Java app), indtil de lander på den samme server socket, der blev brugt af en legitim admin.
Men samtidig udnytte denne svaghed virker som et spørgsmål om blind lykke, Altherr ikke anbefale, at selskaber tage en chance.
“Mens de nøjagtige betingelser, der fører til stik nummer genbrug i Linux kan være kompleks, og det er derfor for det meste blinde lykke, single-user skik model af den virtuelle medier service tendens til at øge chancerne,” fortalte han ZDNet.
“I vores test var vi i stand til pålideligt at udnytte autentificering mod en BMC uger efter, at den virtuelle medier service havde været brugt af en legitim bruger.”
Når dette sker, angriberen kan interagere med BMC, på trods af ikke at have ordentlig BMC legitimationsoplysninger.
Mens efterligne en USB-ser uskyldigt, det Eclypsium forsknings-team, der sagde, at en hacker kan “starte maskinen fra en ondsindet USB image, exfiltrate data via en USB-lagerenhed, eller bruge en virtuel USB-Gummi Ducky, der hurtigt udfører en sekvens af omhyggeligt udformet tastetryk til at udføre næsten enhver anden type hacking mod BMC, firmware, eller den server, der styrer.”
Mellem 47,000 og 55,000 Supermicro BMCs udsat online
Angreb som disse er farlige, når de udføres med fysisk adgang, men de er endnu mere farligt, når der udføres via en remote vektor som internettet.
“En scanning af TCP-port 623 tværs af Internettet afslørede 47,339 BMCs fra over 90 forskellige lande med de berørte virtuelle medier service offentligt tilgængelige,” Eclypsium siger forskerne.
Disse systemer er nu i fare for at komme under angreb, og potentielt blive kompromitteret.
Fjernangribere kan plante malware på disse systemer, der kan overleve OS geninstallerer, eller endda midlertidigt mursten servere, en taktik, der kan bruges til at sabotere konkurrenter, eller for at afpresse løsepenge betalinger fra organisationer, der kører systemer med udsatte BMC virtuelle medier havne.
En BinaryEdge søg udført af ZDNet, før denne artikel offentliggørelsen fandt selv en større mængde af udsatte systemer-med over 55.000 Supermicro IPMI grænseflader udsætte port 623 online.
Langt de fleste af disse systemer var på netværk af datacentre og web-hosting-udbydere, og udsætter disse selskaber og deres respektive kunder til at USBAnywhere angreb.
Billede: ZDNet
Supermicro: Installation af patches, tage BMCs fra internettet
“Bedste praksis i industrien er i drift BMCs på en isoleret private netværk ikke er udsat til internettet, hvilket ville reducere, men ikke fjerne de identificerede eksponering,” en Supermicro talsmand fortalte ZDNet i sidste uge.
Selskabet anbefaler, at kunderne installerer den nyeste patches til helt at afbøde USBAnywhere angreb for godt.
Det er ikke første gang, at sikkerheds-eksperter advarer om, efterlader BMC/management IPMI-grænseflader, der er tilgængelig fra internettet.
I 2013, akademikere fundet 100,000 IPMI-aktiverede systemer fra tre store leverandører, der var tilgængeligt via internettet. På det tidspunkt, BMC firmware beskyttelse var ikke en standard, og alle de servere, var i fare for at få deres firmware reflashed med ondsindede versioner.
Sikkerhed
Android Google Play app med 100 millioner downloads begynder at levere malware
Microsoft: Brug af multi-faktor-autentificering blokke 99,9% af konto hacks
En ny tingenes internet botnet er at inficere Android-baseret set top-bokse
Skam over SHA-2: Symantec dumper grundlæggende programmering (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Den største cybersecurity risici i den finansielle sektor (TechRepublic)
Relaterede Emner:
Datacentre
Sikkerhed-TV
Data Management
CXO