近日,知名軟硬件公司 American Megatrends International(安邁,簡稱 AMI)開發的 MegaRAC 基帶管理控制器(BMC)軟件曝出了兩個新的嚴重漏洞。BMC 是一種微型計算機,焊接到了服務器的主闆上,使雲中心及其客戶可以簡化遠程管理大批計算機的任務。這使管理員們能夠遠程重裝操作系統、安裝和卸載應用程序,以及控制整個系統的幾乎其他各個方面,甚至在關閉時也能控制。
MegaRAC BMC 爲管理員們提供了 " 帶外 " 和 " 無人值守 " 遠程系統管理功能,從而使管理員能夠對服務器進行故障排除,就好像人在設備跟前一樣。
該固件被業内十多家服務器制造商所使用,這些制造商爲許多雲服務和數據中心提供商提供設備。受影響的供應商包括 AMD、華碩、ARM、Dell EMC、技嘉、聯想、英偉達、高通、HPE、華爲、Ampere Computing 和華擎科技等更多廠商。
Eclypsium 安全公司的安全研究人員在分析了 RansomEXX 勒索軟件團夥竊取的 AMI 源代碼後,發現了這兩個漏洞(編号爲 CVE-2023-34329 和 CVE-2023-34330)。RansomEXX 勒索軟件團夥入侵了 AMI 的商業合作夥伴之一:計算機硬件巨頭技嘉興的網絡,從而竊取了 AMI 源代碼。
據安全外媒報道,RansomEXX 團夥的攻擊者于 2021 年 8 月在其暗網數據洩露網站上公布了竊取的文件。
這兩個安全漏洞使攻擊者能夠通過暴露在遠程訪問者面前的 Redfish 遠程管理接口,繞過身份驗證或注入惡意代碼:
• CVE-2023-34329 ——通過 HTTP 報頭欺騙手段繞過身份驗證(9.9/10 CVSS 3.0 基礎分數)
• CVE-2023-34330 ——通過動态 Redfish 擴展接口注入代碼(6.7/10 CVSS 3.0 基礎分數)
隻要遠程攻擊者可以通過網絡訪問 BMC 管理接口,即使缺乏 BMC 憑據,如果通過結合這兩個漏洞,就可以在運行易受攻擊的固件的服務器上遠程執行代碼。
這是通過欺騙 BMC 将 HTTP 請求視爲來自内部接口來實現的。因此,如果接口在網上暴露無遺,攻擊者就可以遠程上傳和執行任意代碼,甚至可能從互聯網執行這番操作。
影響包括服務器成廢磚和無限重啓循環
Eclypsium 的研究人員在近日發布的一篇博文中寫道:" 這些漏洞的嚴重程度從很高到危急不等,包括未經身份驗證的遠程代碼執行和未經授權的設備訪問,擁有超級用戶的權限。它們可以被能夠訪問 Redfish 遠程管理接口的遠程攻擊者的利用,或者從一個受感染的主機操作系統來利用。Redfish 是傳統 IPMI 的後續技術,它爲管理服務器的基礎設施及支持現代數據中心的其他基礎設施提供了一種 API 标準。除了得到常用于現代超大規模環境的 OpenBMC 固件項目的支持外,Redfish 還得到了幾乎所有主要的服務器和基礎設施供應商的支持。"
這些漏洞對雲計算背後的技術供應鏈構成了重大風險。簡而言之,組件供應商中的漏洞影響許多硬件供應商,而這些漏洞又會被傳遞給許多雲服務。因此,這些漏洞可能對組織直接擁有的服務器和硬件以及支持組織使用的雲服務的硬件構成了風險。它們還會影響組織的上遊供應商,應該與關鍵第三方進行讨論,作爲一般性的供應鏈風險管理盡職調查的一個環節。
Eclypsium 表示:" 利用這些漏洞的影響包括:遠程控制受感染的服務器,遠程部署惡意軟件,勒索軟件和固件植入或破壞主闆組件(BMC 或潛在的 BIOS/UEFI),可能對服務器造成物理損壞(過電壓 / 固件破壞),以及受害者組織無法中斷的無限重啓循環。"
" 我們還需要強調的一點是,這種植入極難被檢測出現,而且極容易被任何攻擊者以單行漏洞利用代碼的形式重新創建。"
在 2022 年 12 月和 2023 年 1 月,Eclypsium 披露了另外五個 MegaRAC BMC 漏洞(編号爲 CVE-2022-40259、CVE-2022-40242、CVE-2022-2827、CVE-2022-26872 和 CVE-2022-40258),這些漏洞可以被利用來劫持、破壞或遠程感染被惡意軟件感染的服務器。
此外,今天披露的這兩個 MegaRAC BMC 固件漏洞可以與上面提到的這些漏洞結合使用起來。
具體來說,CVE-2022-40258(涉及 Redfish & API 的弱密碼散列)可以幫助攻擊者破解 BMC 芯片上管理員賬戶的管理員密碼,從而使攻擊更加簡單直接。
Eclypsium 表示,他們還沒有看到任何證據表明這些漏洞或他們之前披露的 BMC&C 漏洞正在外頭被人利用。然而,由于威脅分子可以訪問相同的源數據,這些漏洞淪爲攻擊武器的風險大大增加了。
