Понедельник, 25 января, 22:15
дома безопасность Ошибка Supermicro BMC: «Виртуальные USB» нарушают корпоративные серверы

Ошибка Supermicro BMC: «Виртуальные USB-устройства» нарушают работу корпоративных серверов.

Оказывается, хакер может использовать недостатки устройства удаленного управления, чтобы подключить все «виртуальные» диски, которые ему нужны. И такой же тип атаки может преобразовать практически любое устройство. USB в виртуальном троянский конь.

Supermicro

Во вторник во вторник на конференции Open Source Firmware в Силиконовой долине исследователи из охранной фирмы Eclypsium подробно описывают ряд уязвимостей в ряде контроллеров BMC Supermicro, которые являются выделенными процессорами, установленными на серверных платформах материнских плат, чтобы предоставить администраторам специфичные для системы возможности управления аппаратным уровнем. Это полезно, когда администраторам приходится делать такие вещи, как загрузка старого программного обеспечения на сервер с компакт-диска или обновление операционной системы с образа на внешний жесткий диск. BMC облегчает весь процесс без необходимости физического подключения всего к самому серверу. Сервер будет просто думать, что устройство напрямую подключено.

Однако исследователи обнаружили, что платформы BMC на платформах Supermicro X9, X10 и X11 содержат недостатки, которые могут быть использованы злоумышленником. Хакер потенциально может удалить данные с флэш-накопителя или внешнего жесткого диска, заменить операционную систему сервера вредоносной или даже удалить сервер. Злоумышленники также могут воспользоваться уязвимостью, когда у них уже есть доступ к корпоративной сети, чтобы получить более глубокий контроль над системами. Но они могут запускать эти атаки удаленно, если организации откажутся от своих раскрытых в сети BMC - например, более 47.000 XNUMX открытых BMC, показанных исследователями в недавнем сканировании.

«Проблема с хакерскими атаками часто заключается в том, что физическое присутствие является серьезной проблемой. Однако в нашем случае это эквивалент физического присутствия », - говорит Рик Алтерр, главный инженер Eclypsium. "Есть действительно безграничные возможности, и BMC очень распространены. техника".

Если администратор хотел эффективно подключить USB-устройство к серверу, он или она использовал бы приложение для управления виртуальным носителем с портативного компьютера или другого устройства, чтобы эффективно вызывать BMC и пользоваться средствами контроля доступа. аппаратные средства, Исследователи Eclypsium, однако, обнаружили, что системы аутентификации в системах, использующих эти протоколы виртуальных носителей, уязвимы для многочисленных и различных типов атак.

Система может хранить допустимые учетные данные администратора, например, иногда позволяя следующему пользователю ввести любое имя пользователя и пароль и получить доступ. Альтер сказал, что он нашел эту ошибку очень достоверной в тестах, но даже если открытое окно внезапно закрывается, хакер все равно может проверить учетные данные Supermicro по умолчанию, которые часто меняются. И для одного хакер Уже в сети и желая переключиться на BMC, есть еще один вариант получения учетных данных путем блокировки трафика между веб-приложением и BMC, поскольку соединение защищено только относительно слабым пациентом криптография.

Исследователи обнаружили дефекты в Supermicro в июне, и компания выпустила обновления прошивки для всех затронутых BMC. Однако генеральный директор Eclypsium Юрий Булыгин отмечает, что, как и многие устройства компании, BMC часто отстают в получении обновлений прошивки для акт, В результате, возможно, патчам потребуется время, чтобы добраться до уязвимого сервера.

«Мы хотим поблагодарить исследователей, которые обнаружили уязвимость в BMC Virtual Media», - говорится в заявлении представителя Supermicro. "Новые версии программного обеспечения BMC решают эту проблему. уязвимости».

В октябрьском опросе 2018 Bloomberg Businessweek заявил, что многие материнские платы Supermicro по всему миру были взломаны бэкдором, установленным китайскими военными. Supermicro и другие технологические гиганты, использующие серверы компании, отрицают достоверность отчета.

Исследователи из Eclypsium надеются повысить осведомленность о возможных воздействиях, которые обычно могут исходить от устройств BMC, поскольку они являются основными устройствами, предназначенными для удаленного использования. Они предоставляют подлинную услугу сетевым администраторам и могут помочь администраторам обновления безопасности, Но, как и любой подобный инструмент, эти функции также могут быть использованы хакерами.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

00: 02: 17

Как страховые компании «усиливают» атаки программ-вымогателей?

Число атак программ-вымогателей значительно возросло, и эксперты предупреждают, что их жертвы не должны платить выкуп хакерам ...

Россия: «США могут принять ответные меры против взлома SolarWinds»!

Правительство России предупреждает организации страны о возможных кибератаках, которые могут осуществить США, в качестве «возмездия» за взлом ...

iPhone: как узнать, какие приложения имеют доступ к вашим контактам

Некоторые проблемы с конфиденциальностью iPhone идут глубже, чем доступ к вашему списку контактов, который открывает ваши контакты ...

COVID-19: Google делает доступными клиники вакцинации

Генеральный директор Google Сундар Пичаи заявил в понедельник, что компания предоставит свои помещения для клиник ...

Netflix предлагает обновление звука "студийного качества" на Android

Не удивляйтесь, если Netflix будет звучать лучше в следующий раз, когда вы пробежите марафон с рядами на своем телефоне Android ...

Вернется ли биткойн к 40.000 долларов? Есть опасения!

Любители биткойнов, которые воспринимают его доход выше уровня 40.000 долларов как должное, были обеспокоены, потому что спрос ...

Программа-вымогатель Avaddon: ее операторы угрожают DDoS-атаками, чтобы получить выкуп!

В последнее время все больше и больше банд вымогателей стремятся угрожать своим целям DDoS-атаками, чтобы обеспечить себе прибыль ...

Волонтеров-пожарных обучат с помощью VR-симулятора

Волонтеры-пожарные в австралийском штате Виктория скоро получат доступ к обучению в виртуальной реальности (VR), которое будет доступно в ...

Тесла: Обвиняет свою бывшую сотрудницу в краже ее конфиденциальных данных!

23 января Tesla подала в суд на бывшего сотрудника Алекса Хатилова за кражу 26.000 конфиденциальных документов, включая коммерческую тайну. Программное обеспечение ...

SpaceX запустила одновременно 143 спутника

SpaceX побила все рекорды своим последним полетом космического корабля на орбиту. Компания успешно начала миссию Транспортер-1 ...