Supermicro服務(wù)器在互聯(lián)網(wǎng)上暴露BMC端口

在Supermicro主板上運(yùn)行的超過(guò)47,000個(gè)工作站和服務(wù)器(可能更多)目前可以受到攻擊，因?yàn)楣芾韱T已經(jīng)在互聯(lián)網(wǎng)上暴露了內(nèi)部組件。

這些系統(tǒng)容易受到名為USBAnywhere的一組新漏洞的影響，這些漏洞會(huì)影響Supermicro主板的基板管理控制器(BMC)固件。

補(bǔ)丁可用于修復(fù)USBAnywhere漏洞，但Supermicro和安全專家建議限制從互聯(lián)網(wǎng)訪問(wèn)BMC管理界面，作為預(yù)防措施和行業(yè)最佳實(shí)踐。

什么是BMC?

BMC是智能平臺(tái)管理接口(IPMI)的組成部分。IPMI是通常在企業(yè)網(wǎng)絡(luò)上部署的服務(wù)器和工作站上找到的標(biāo)準(zhǔn)和工具集合。IPMI允許系統(tǒng)管理員從較低級(jí)別并獨(dú)立于操作系統(tǒng)的遠(yuǎn)程位置管理系統(tǒng)。

IPMI工具可以允許遠(yuǎn)程管理員連接或向PC /服務(wù)器發(fā)送指令并執(zhí)行各種操作，例如修改操作系統(tǒng)設(shè)置，重新安裝操作系統(tǒng)或更新驅(qū)動(dòng)程序。

所有IPMI遠(yuǎn)程管理解決方案的核心都是基板管理控制器。BMC是嵌入主板的微控制器，它們帶有自己的CPU，存儲(chǔ)系統(tǒng)和LAN接口，

BMC充當(dāng)服務(wù)器/工作站硬件和遠(yuǎn)程系統(tǒng)管理員之間的接口。它們是將所有IPMI命令轉(zhuǎn)換為本地硬件指令的組件，因此可以完全控制計(jì)算機(jī)。

由于它們具有訪問(wèn)權(quán)限，因此對(duì)BMC接口的訪問(wèn)受到嚴(yán)格限制，并且使用密碼進(jìn)行保護(hù)，通常只有公司的系統(tǒng)管理員才能知道。

什么是USBANYWHERE漏洞

但在今天發(fā)布的新研究中，來(lái)自Eclypsium的安全研究人員表示，他們發(fā)現(xiàn)了Supermicro的BMC固件存在漏洞。

這些名為USBAnywhere的漏洞影響了固件的虛擬USB功能，可讓系統(tǒng)管理員將USB插入自己的計(jì)算機(jī)，但將其視為連接到遠(yuǎn)程管理系統(tǒng)的虛擬USB，將數(shù)據(jù)從本地USB傳輸?shù)竭h(yuǎn)程虛擬的。

此功能 - 較大的BMC虛擬媒體服務(wù)的一部分 - 是一個(gè)小型Java應(yīng)用程序，通過(guò)基于Supermicro的系統(tǒng)附帶的標(biāo)準(zhǔn)BMC Web界面提供服務(wù)。

Eclypsium研究人員表示他們發(fā)現(xiàn)了這個(gè)Java應(yīng)用程序使用的身份驗(yàn)證的四個(gè)問(wèn)題：

●純文本身份驗(yàn)證 - 雖然Java應(yīng)用程序使用唯一的會(huì)話ID進(jìn)行身份驗(yàn)證，但該服務(wù)還允許客戶端使用純文本用戶名和密碼。

●未加密的網(wǎng)絡(luò)流量 - 加密可用，但必須由客戶端請(qǐng)求。受影響系統(tǒng)提供的Java應(yīng)用程序?qū)⒋思用苡糜诔跏忌矸蒡?yàn)證

數(shù)據(jù)包，但隨后將未加密數(shù)據(jù)包用于所有其他流量。

●弱加密 - 使用加密時(shí)，使用編譯到BMC固件中的固定密鑰使用RC4對(duì)有效負(fù)載進(jìn)行加密。所有Supermicro BMC都共享此密鑰。RC4有

多個(gè)已發(fā)布的加密弱點(diǎn)，并且已被禁止在TLS(RFC7465)中使用。

●身份驗(yàn)證繞過(guò)(僅限Supermicro X10和X11平臺(tái)) - 在客戶端對(duì)虛擬介質(zhì)服務(wù)進(jìn)行了正確身份驗(yàn)證然后斷開(kāi)連接后，該客戶端的某些服務(wù)內(nèi)部狀態(tài)不完整。由于內(nèi)部狀態(tài)鏈接到客戶端的套接字文件描述符編號(hào)，因此BMC

操作系統(tǒng)恰好為其分配了相同套接字文件描述符編號(hào)的新客戶端將繼承此內(nèi)部狀態(tài)。實(shí)際上，即使新客戶端嘗試使用不正確的憑據(jù)進(jìn)行身份驗(yàn)證，這也允許新客戶端繼承先前客戶端的授權(quán)。

SUPERMICRO發(fā)布了補(bǔ)丁

Eclypsium向Supermicro報(bào)告了所有四個(gè)問(wèn)題，供應(yīng)商在其網(wǎng)站上發(fā)布了Supermicro X9，X10和X11板的補(bǔ)丁。

“我們要感謝已經(jīng)確定BMC虛擬媒體漏洞的研究人員，”Supermicro發(fā)言人上周在一封電子郵件中告訴ZDNet。

該供應(yīng)商還表示，它與Eclypsium密切合作，以驗(yàn)證修復(fù)程序是否按預(yù)期工作，現(xiàn)在它們應(yīng)該可以安全使用。

“主要變化包括使用TLS包裝虛擬媒體服務(wù)，刪除明文身份驗(yàn)證功能，以及修復(fù)導(dǎo)致身份驗(yàn)證繞過(guò)的錯(cuò)誤，”Eclypsium的首席工程師Rick Altherr 在一封電子郵件中告訴ZDNet，有關(guān)Supermicro的修復(fù)。

最危險(xiǎn)的BUG

在四個(gè)錯(cuò)誤中，第四個(gè)是最有可能導(dǎo)致問(wèn)題的錯(cuò)誤。該錯(cuò)誤允許惡意黑客發(fā)起與BMC Web界面的虛擬媒體服務(wù)(Java app)的重復(fù)連接，直到它們落在合法管理員使用的同一服務(wù)器套接字上。

但是，雖然利用這個(gè)漏洞似乎是一個(gè)盲目的運(yùn)氣問(wèn)題，但Altherr并不建議公司抓住機(jī)會(huì)。

“雖然導(dǎo)致Linux中套接字號(hào)重用的確切條件可能很復(fù)雜，因此大多是盲目運(yùn)氣，但虛擬媒體服務(wù)的單用戶使用模式往往會(huì)大大增加機(jī)會(huì)，”他告訴ZDNet。

“在我們的測(cè)試中，我們能夠在合法用戶使用虛擬媒體服務(wù)幾周后，可靠地利用針對(duì)BMC的身份驗(yàn)證繞過(guò)。”

發(fā)生這種情況時(shí)，攻擊者可以與BMC進(jìn)行交互，盡管沒(méi)有正確的BMC憑據(jù)。

雖然模擬USB看起來(lái)無(wú)害，但Eclypsium研究團(tuán)隊(duì)表示，攻擊者可以“從惡意USB映像啟動(dòng)計(jì)算機(jī)，通過(guò)USB大容量存儲(chǔ)設(shè)備泄露數(shù)據(jù)，或者使用虛擬USB橡皮鴨，快速執(zhí)行一系列精心設(shè)計(jì)的擊鍵對(duì)BMC，固件或它管理的服務(wù)器執(zhí)行幾乎任何其他類型的黑客攻擊。“

47,000到55,000個(gè)SUPERMICRO BMC在線曝光

這些攻擊在進(jìn)行物理訪問(wèn)時(shí)很危險(xiǎn)，但是當(dāng)通過(guò)像互聯(lián)網(wǎng)這樣的遠(yuǎn)程矢量執(zhí)行時(shí)，它們會(huì)更加危險(xiǎn)。

“通過(guò)互聯(lián)網(wǎng)掃描TCP端口623，顯示來(lái)自90多個(gè)不同的47,339個(gè)BMC，受影響的虛擬媒體服務(wù)可公開(kāi)訪問(wèn)，”Eclypsium的研究人員說(shuō)。

這些系統(tǒng)現(xiàn)在面臨受到攻擊的危險(xiǎn)，并可能受到攻擊。

攻擊者可以在這些系統(tǒng)上植入惡意軟件，這些惡意軟件可以在操作系統(tǒng)重新安裝后生存，甚至可以暫時(shí)使用服務(wù)器，這種策略可用于破壞競(jìng)爭(zhēng)對(duì)手或從運(yùn)行具有暴露BMC虛擬媒體端口的系統(tǒng)的組織勒索贖金支付。

在本文發(fā)布之前由ZDNet執(zhí)行的BinaryEdge搜索發(fā)現(xiàn)甚至更多的暴露系統(tǒng) - 超過(guò)55,000個(gè)Supermicro IPMI接口在線暴露端口623。

絕大多數(shù)這些系統(tǒng)都在數(shù)據(jù)中心和網(wǎng)絡(luò)托管提供商的網(wǎng)絡(luò)上，使這些公司及其各自的客戶暴露于USBAnywhere攻擊。

SUPERMICRO：安裝補(bǔ)丁，從互聯(lián)網(wǎng)上取出BMC

“行業(yè)最佳實(shí)踐是在沒(méi)有暴露于互聯(lián)網(wǎng)的孤立的私人網(wǎng)絡(luò)上運(yùn)營(yíng)BMC，這將減少但不能消除已確定的暴露，”Supermicro發(fā)言人上周告訴ZDNet。

該公司建議客戶安裝最新的補(bǔ)丁以完全緩解USBAnywhere攻擊向量。

這不是安全專家第一次警告可以從互聯(lián)網(wǎng)訪問(wèn)BMC / IPMI管理界面。

2013年，學(xué)術(shù)界發(fā)現(xiàn)了可通過(guò)互聯(lián)網(wǎng)訪問(wèn)的三個(gè)主要供應(yīng)商的100,000個(gè)支持IPMI的系統(tǒng)。當(dāng)時(shí)，BMC固件保護(hù)不是標(biāo)準(zhǔn)，所有這些服務(wù)器都有使用惡意版本重置固件的危險(xiǎn)。