Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaLe nuove vulnerabilità indicano che è tempo di rivedere le interfacce BMC del server
Due vulnerabilità scoperte di recente nei controller di gestione del baseboard ampiamente utilizzati potrebbero fornire agli autori di minacce locali e remote il pieno controllo sui server.
La frequenza e la gravità dei problemi di sicurezza riscontrati nel corso degli anni nel firmware dei controller di gestione baseboard (BMC) presenti nelle schede madri dei server evidenziano un'area spesso trascurata, ma critica, della sicurezza dell'infrastruttura IT. L'ultima aggiunta alla crescente lista di difetti sono due vulnerabilità in un'interfaccia di gestione “lights-out” ampiamente utilizzata da diversi produttori di server. Se sfruttati insieme, potrebbero fornire agli aggressori remoti e locali il pieno controllo sui server colpiti a un livello basso e difficile da rilevare.
"L'impatto dello sfruttamento di queste vulnerabilità include il controllo remoto di server compromessi, l'implementazione remota di malware, ransomware e installazione o bricking del firmware di componenti della scheda madre (BMC o potenzialmente BIOS/UEFI), potenziali danni fisici ai server (sovratensione/bricking del firmware), e cicli di riavvio indefiniti che un’organizzazione vittima non può interrompere”, hanno affermato recentemente in un rapporto i ricercatori della società di sicurezza firmware Eclypsium. "Luci spente, davvero."
I BMC sono microcontrollori specializzati dotati di firmware e sistema operativo propri, memoria dedicata, alimentazione e porte di rete. Vengono utilizzati per la gestione fuori banda dei server quando i loro sistemi operativi primari vengono spenti. I BMC sono essenzialmente computer più piccoli che vengono eseguiti all'interno dei server e consentono agli amministratori di eseguire attività di manutenzione in remoto come reinstallare i sistemi operativi, riavviare i server quando non rispondono più, distribuire aggiornamenti del firmware e così via. A volte questa operazione viene definita anche gestione delle luci spente.
I ricercatori di sicurezza hanno messo in guardia sui problemi di sicurezza nelle implementazioni BMC e nella specifica IPMI (Intelligent Platform Management Interface) che utilizzano da almeno un decennio. Le vulnerabilità includevano credenziali e utenti codificati, configurazioni errate, crittografia debole o assente, nonché bug di codice come buffer overflow. Anche se queste interfacce di gestione dovrebbero operare su segmenti di rete isolati, nel corso degli anni centinaia di migliaia di persone sono state trovate esposte a Internet.
L'anno scorso, i ricercatori hanno scoperto un impianto dannoso denominato iLOBleed, probabilmente sviluppato da un gruppo APT e distribuito sui server Hewlett Packard Enterprise (HPE) Gen8 e Gen9 attraverso vulnerabilità nel BMC HPE iLO (HPE's Integrated Lights-Out) note da allora. 2018.
Nel 2018, secondo quanto riferito, gli aggressori hanno distribuito un programma ransomware chiamato JungleSec sui server Linux sfruttando le interfacce IPMI non sicure che utilizzavano credenziali di amministratore predefinite. Nel 2016, Microsoft ha riferito che un gruppo APT soprannominato PLATINUM ha sfruttato la funzionalità Serial-over-LAN (SOL) di Intel Active Management Technology (AMT) per impostare un canale di comunicazione nascosto per trasferire file. AMT è un componente di Intel Management Engine (Intel ME), una soluzione simile a BMC presente nella maggior parte delle CPU desktop e server Intel.
I ricercatori di Eclypsium hanno scoperto e divulgato due nuove vulnerabilità in MegaRAC, un'implementazione del firmware BMC sviluppata da American Megatrends (AMI), il più grande fornitore mondiale di firmware BIOS/UEFI e BMC. I produttori di server che hanno utilizzato AMI MegaRAC in alcuni dei loro prodotti nel corso del tempo includono prodotti come AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, NVidia, Qualcomm, Quanta e Tiano.
Questa non è la prima volta che Eclypsium rileva vulnerabilità BMC. Nel dicembre 2022 la società ha rivelato altre cinque vulnerabilità identificate nell'AMI MegaRAC, alcune delle quali consentivano l'esecuzione di codice arbitrario tramite l'API Redfish o fornivano accesso SSH ad account privilegiati grazie a password codificate.
Le due nuove vulnerabilità si trovano anche nell'interfaccia di gestione di Redfish. Redfish è un'interfaccia standardizzata per la gestione fuori banda sviluppata per sostituire la vecchia IPMI.