Supermicro服務(wù)器在互聯(lián)網(wǎng)上暴露BMC端口

在Supermicro主板上運(yùn)行的超過47,000個工作站和服務(wù)器(可能更多)目前可以受到攻擊，因?yàn)楣芾韱T已經(jīng)在互聯(lián)網(wǎng)上暴露了內(nèi)部組件。

這些系統(tǒng)容易受到名為USBAnywhere的一組新漏洞的影響，這些漏洞會影響Supermicro主板的基板管理控制器(BMC)固件。

補(bǔ)丁可用于修復(fù)USBAnywhere漏洞，但Supermicro和安全專家建議限制從互聯(lián)網(wǎng)訪問BMC管理界面，作為預(yù)防措施和行業(yè)最佳實(shí)踐。

什么是BMC?

BMC是智能平臺管理接口(IPMI)的組成部分。IPMI是通常在企業(yè)網(wǎng)絡(luò)上部署的服務(wù)器和工作站上找到的標(biāo)準(zhǔn)和工具集合。IPMI允許系統(tǒng)管理員從較低級別并獨(dú)立于操作系統(tǒng)的遠(yuǎn)程位置管理系統(tǒng)。

IPMI工具可以允許遠(yuǎn)程管理員連接或向PC /服務(wù)器發(fā)送指令并執(zhí)行各種操作，例如修改操作系統(tǒng)設(shè)置，重新安裝操作系統(tǒng)或更新驅(qū)動程序。

所有IPMI遠(yuǎn)程管理解決方案的核心都是基板管理控制器。BMC是嵌入主板的微控制器，它們帶有自己的CPU，存儲系統(tǒng)和LAN接口，

BMC充當(dāng)服務(wù)器/工作站硬件和遠(yuǎn)程系統(tǒng)管理員之間的接口。它們是將所有IPMI命令轉(zhuǎn)換為本地硬件指令的組件，因此可以完全控制計(jì)算機(jī)。

由于它們具有訪問權(quán)限，因此對BMC接口的訪問受到嚴(yán)格限制，并且使用密碼進(jìn)行保護(hù)，通常只有公司的系統(tǒng)管理員才能知道。

什么是USBANYWHERE漏洞

但在今天發(fā)布的新研究中，來自Eclypsium的安全研究人員表示，他們發(fā)現(xiàn)了Supermicro的BMC固件存在漏洞。

這些名為USBAnywhere的漏洞影響了固件的虛擬USB功能，可讓系統(tǒng)管理員將USB插入自己的計(jì)算機(jī)，但將其視為連接到遠(yuǎn)程管理系統(tǒng)的虛擬USB，將數(shù)據(jù)從本地USB傳輸?shù)竭h(yuǎn)程虛擬的。

此功能 - 較大的BMC虛擬媒體服務(wù)的一部分 - 是一個小型Java應(yīng)用程序，通過基于Supermicro的系統(tǒng)附帶的標(biāo)準(zhǔn)BMC Web界面提供服務(wù)。

Eclypsium研究人員表示他們發(fā)現(xiàn)了這個Java應(yīng)用程序使用的身份驗(yàn)證的四個問題：

●純文本身份驗(yàn)證 - 雖然Java應(yīng)用程序使用唯一的會話ID進(jìn)行身份驗(yàn)證，但該服務(wù)還允許客戶端使用純文本用戶名和密碼。

●未加密的網(wǎng)絡(luò)流量 - 加密可用，但必須由客戶端請求。受影響系統(tǒng)提供的Java應(yīng)用程序?qū)⒋思用苡糜诔跏忌矸蒡?yàn)證

數(shù)據(jù)包，但隨后將未加密數(shù)據(jù)包用于所有其他流量。

●弱加密 - 使用加密時，使用編譯到BMC固件中的固定密鑰使用RC4對有效負(fù)載進(jìn)行加密。所有Supermicro BMC都共享此密鑰。RC4有

多個已發(fā)布的加密弱點(diǎn)，并且已被禁止在TLS(RFC7465)中使用。

●身份驗(yàn)證繞過(僅限Supermicro X10和X11平臺) - 在客戶端對虛擬介質(zhì)服務(wù)進(jìn)行了正確身份驗(yàn)證然后斷開連接后，該客戶端的某些服務(wù)內(nèi)部狀態(tài)不完整。由于內(nèi)部狀態(tài)鏈接到客戶端的套接字文件描述符編號，因此BMC

操作系統(tǒng)恰好為其分配了相同套接字文件描述符編號的新客戶端將繼承此內(nèi)部狀態(tài)。實(shí)際上，即使新客戶端嘗試使用不正確的憑據(jù)進(jìn)行身份驗(yàn)證，這也允許新客戶端繼承先前客戶端的授權(quán)。

SUPERMICRO發(fā)布了補(bǔ)丁

Eclypsium向Supermicro報告了所有四個問題，供應(yīng)商在其網(wǎng)站上發(fā)布了Supermicro X9，X10和X11板的補(bǔ)丁。

“我們要感謝已經(jīng)確定BMC虛擬媒體漏洞的研究人員，”Supermicro發(fā)言人上周在一封電子郵件中告訴ZDNet。

該供應(yīng)商還表示，它與Eclypsium密切合作，以驗(yàn)證修復(fù)程序是否按預(yù)期工作，現(xiàn)在它們應(yīng)該可以安全使用。

“主要變化包括使用TLS包裝虛擬媒體服務(wù)，刪除明文身份驗(yàn)證功能，以及修復(fù)導(dǎo)致身份驗(yàn)證繞過的錯誤，”Eclypsium的首席工程師Rick Altherr 在一封電子郵件中告訴ZDNet，有關(guān)Supermicro的修復(fù)。

最危險的BUG

在四個錯誤中，第四個是最有可能導(dǎo)致問題的錯誤。該錯誤允許惡意黑客發(fā)起與BMC Web界面的虛擬媒體服務(wù)(Java app)的重復(fù)連接，直到它們落在合法管理員使用的同一服務(wù)器套接字上。

但是，雖然利用這個漏洞似乎是一個盲目的運(yùn)氣問題，但Altherr并不建議公司抓住機(jī)會。

“雖然導(dǎo)致Linux中套接字號重用的確切條件可能很復(fù)雜，因此大多是盲目運(yùn)氣，但虛擬媒體服務(wù)的單用戶使用模式往往會大大增加機(jī)會，”他告訴ZDNet。

“在我們的測試中，我們能夠在合法用戶使用虛擬媒體服務(wù)幾周后，可靠地利用針對BMC的身份驗(yàn)證繞過。”

發(fā)生這種情況時，攻擊者可以與BMC進(jìn)行交互，盡管沒有正確的BMC憑據(jù)。

雖然模擬USB看起來無害，但Eclypsium研究團(tuán)隊(duì)表示，攻擊者可以“從惡意USB映像啟動計(jì)算機(jī)，通過USB大容量存儲設(shè)備泄露數(shù)據(jù)，或者使用虛擬USB橡皮鴨，快速執(zhí)行一系列精心設(shè)計(jì)的擊鍵對BMC，固件或它管理的服務(wù)器執(zhí)行幾乎任何其他類型的黑客攻擊。“

47,000到55,000個SUPERMICRO BMC在線曝光

這些攻擊在進(jìn)行物理訪問時很危險，但是當(dāng)通過像互聯(lián)網(wǎng)這樣的遠(yuǎn)程矢量執(zhí)行時，它們會更加危險。

“通過互聯(lián)網(wǎng)掃描TCP端口623，顯示來自90多個不同的47,339個BMC，受影響的虛擬媒體服務(wù)可公開訪問，”Eclypsium的研究人員說。

這些系統(tǒng)現(xiàn)在面臨受到攻擊的危險，并可能受到攻擊。

攻擊者可以在這些系統(tǒng)上植入惡意軟件，這些惡意軟件可以在操作系統(tǒng)重新安裝后生存，甚至可以暫時使用服務(wù)器，這種策略可用于破壞競爭對手或從運(yùn)行具有暴露BMC虛擬媒體端口的系統(tǒng)的組織勒索贖金支付。

在本文發(fā)布之前由ZDNet執(zhí)行的BinaryEdge搜索發(fā)現(xiàn)甚至更多的暴露系統(tǒng) - 超過55,000個Supermicro IPMI接口在線暴露端口623。

絕大多數(shù)這些系統(tǒng)都在數(shù)據(jù)中心和網(wǎng)絡(luò)托管提供商的網(wǎng)絡(luò)上，使這些公司及其各自的客戶暴露于USBAnywhere攻擊。

SUPERMICRO：安裝補(bǔ)丁，從互聯(lián)網(wǎng)上取出BMC

“行業(yè)最佳實(shí)踐是在沒有暴露于互聯(lián)網(wǎng)的孤立的私人網(wǎng)絡(luò)上運(yùn)營BMC，這將減少但不能消除已確定的暴露，”Supermicro發(fā)言人上周告訴ZDNet。

該公司建議客戶安裝最新的補(bǔ)丁以完全緩解USBAnywhere攻擊向量。

這不是安全專家第一次警告可以從互聯(lián)網(wǎng)訪問BMC / IPMI管理界面。

2013年，學(xué)術(shù)界發(fā)現(xiàn)了可通過互聯(lián)網(wǎng)訪問的三個主要供應(yīng)商的100,000個支持IPMI的系統(tǒng)。當(dāng)時，BMC固件保護(hù)不是標(biāo)準(zhǔn)，所有這些服務(wù)器都有使用惡意版本重置固件的危險。