Оказывается, хакер может использовать недостатки устройства удаленного управления, чтобы подключить все «виртуальные» диски, которые ему нужны. И такой же тип атаки может преобразовать практически любое устройство. USB в виртуальном троянский конь.
Во вторник во вторник на конференции Open Source Firmware в Силиконовой долине исследователи из охранной фирмы Eclypsium подробно описывают ряд уязвимостей в ряде контроллеров BMC Supermicro, которые являются выделенными процессорами, установленными на серверных платформах материнских плат, чтобы предоставить администраторам специфичные для системы возможности управления аппаратным уровнем. Это полезно, когда администраторам приходится делать такие вещи, как загрузка старого программного обеспечения на сервер с компакт-диска или обновление операционной системы с образа на внешний жесткий диск. BMC облегчает весь процесс без необходимости физического подключения всего к самому серверу. Сервер будет просто думать, что устройство напрямую подключено.
Однако исследователи обнаружили, что платформы BMC на платформах Supermicro X9, X10 и X11 содержат недостатки, которые могут быть использованы злоумышленником. Хакер потенциально может удалить данные с флэш-накопителя или внешнего жесткого диска, заменить операционную систему сервера вредоносной или даже удалить сервер. Злоумышленники также могут воспользоваться уязвимостью, когда у них уже есть доступ к корпоративной сети, чтобы получить более глубокий контроль над системами. Но они могут запускать эти атаки удаленно, если организации откажутся от своих раскрытых в сети BMC - например, более 47.000 XNUMX открытых BMC, показанных исследователями в недавнем сканировании.
«Проблема с хакерскими атаками часто заключается в том, что физическое присутствие является серьезной проблемой. Однако в нашем случае это эквивалент физического присутствия », - говорит Рик Алтерр, главный инженер Eclypsium. "Есть действительно безграничные возможности, и BMC очень распространены. техника".
Если администратор хотел эффективно подключить USB-устройство к серверу, он или она использовал бы приложение для управления виртуальным носителем с портативного компьютера или другого устройства, чтобы эффективно вызывать BMC и пользоваться средствами контроля доступа. аппаратные средства, Исследователи Eclypsium, однако, обнаружили, что системы аутентификации в системах, использующих эти протоколы виртуальных носителей, уязвимы для многочисленных и различных типов атак.
Система может хранить допустимые учетные данные администратора, например, иногда позволяя следующему пользователю ввести любое имя пользователя и пароль и получить доступ. Альтер сказал, что он нашел эту ошибку очень достоверной в тестах, но даже если открытое окно внезапно закрывается, хакер все равно может проверить учетные данные Supermicro по умолчанию, которые часто меняются. И для одного хакер Уже в сети и желая переключиться на BMC, есть еще один вариант получения учетных данных путем блокировки трафика между веб-приложением и BMC, поскольку соединение защищено только относительно слабым пациентом криптография.
Исследователи обнаружили дефекты в Supermicro в июне, и компания выпустила обновления прошивки для всех затронутых BMC. Однако генеральный директор Eclypsium Юрий Булыгин отмечает, что, как и многие устройства компании, BMC часто отстают в получении обновлений прошивки для акт, В результате, возможно, патчам потребуется время, чтобы добраться до уязвимого сервера.
«Мы хотим поблагодарить исследователей, которые обнаружили уязвимость в BMC Virtual Media», - говорится в заявлении представителя Supermicro. "Новые версии программного обеспечения BMC решают эту проблему. уязвимости».
В октябрьском опросе 2018 Bloomberg Businessweek заявил, что многие материнские платы Supermicro по всему миру были взломаны бэкдором, установленным китайскими военными. Supermicro и другие технологические гиганты, использующие серверы компании, отрицают достоверность отчета.
Исследователи из Eclypsium надеются повысить осведомленность о возможных воздействиях, которые обычно могут исходить от устройств BMC, поскольку они являются основными устройствами, предназначенными для удаленного использования. Они предоставляют подлинную услугу сетевым администраторам и могут помочь администраторам обновления безопасности, Но, как и любой подобный инструмент, эти функции также могут быть использованы хакерами.