信息化觀察網(wǎng)

本文來自微信公眾號“網(wǎng)絡研究院”。

兩年前，勒索軟件騙子入侵了硬件制造商Gigabyte，并泄露了超過112 GB的數(shù)據(jù)，其中包括來自英特爾和AMD等一些最重要的供應鏈合作伙伴的信息。

現(xiàn)在，研究人員警告稱，泄露的信息揭示了可能構成嚴重零日漏洞的漏洞，可能危及計算世界的大片地區(qū)。

這些漏洞存在于位于佐治亞州德盧斯的AMI為BMC（基板管理控制器）制作的固件內(nèi)。

這些焊接到服務器主板上的微型計算機允許云中心（有時還包括其客戶）簡化大量計算機的遠程管理。它們使管理員能夠遠程重新安裝操作系統(tǒng)、安裝和卸載應用程序以及控制系統(tǒng)的幾乎所有其他方面-即使系統(tǒng)已關閉。

BMC提供業(yè)界所謂的“無人值守”系統(tǒng)管理。

安全公司Eclypsium的研究人員分析了2021年勒索軟件攻擊中泄露的AMI固件，并發(fā)現(xiàn)了潛伏多年的漏洞。任何能夠訪問行業(yè)標準遠程管理界面（稱為Redfish）的本地或遠程攻擊者都可以利用它們來執(zhí)行在數(shù)據(jù)中心內(nèi)的每臺服務器上運行的惡意代碼。

在使用4月份分發(fā)給客戶的更新AMI修補這些漏洞之前，它們?yōu)閻阂夂诳停o論是出于經(jīng)濟動機還是國家資助）提供了一種在世界上一些最敏感的云環(huán)境中獲得超級用戶身份的手段。

從那里，攻擊者可以安裝勒索軟件和間諜惡意軟件，這些惡意軟件在受感染計算機內(nèi)的某些最低級別上運行。

成功的攻擊者還可能對服務器造成物理損壞或受害組織無法中斷的無限期重啟循環(huán)。Eclypsium警告稱，此類事件可能會導致“永遠熄燈”的情況。

在周四發(fā)表的一篇文章中，Eclypsium研究人員寫道：

這些漏洞的嚴重程度從“高”到“嚴重”不等，包括未經(jīng)身份驗證的遠程代碼執(zhí)行和具有超級用戶權限的未經(jīng)授權的設備訪問。它們可能被有權訪問Redfish遠程管理界面或受感染主機操作系統(tǒng)的遠程攻擊者利用。

Redfish是傳統(tǒng)IPMI的繼承者，提供了用于管理服務器基礎設施和支持現(xiàn)代數(shù)據(jù)中心的其他基礎設施的API標準。Redfish受到幾乎所有主要服務器和基礎設施供應商以及現(xiàn)代超大規(guī)模環(huán)境中經(jīng)常使用的OpenBMC固件項目的支持。

這些漏洞對云計算基礎的技術供應鏈構成了重大風險。簡而言之，組件供應商的漏洞會影響許多硬件供應商，進而可能傳遞到許多云服務。

因此，這些漏洞可能會對組織直接擁有的服務器和硬件以及支持其使用的云服務的硬件構成風險。它們還可能影響組織的上游供應商，應與主要的第三方進行討論，作為一般供應鏈風險管理盡職調查的一部分。

BMC旨在為管理員提供對其管理的服務器近乎完全的遠程控制。AMI是向眾多硬件供應商和云服務提供商提供BMC和BMC固件的領先提供商。因此，這些漏洞會影響大量設備，并且可能使攻擊者不僅能夠控制設備，而且還會對數(shù)據(jù)中心和云服務基礎設施造成損害。

相同的邏輯缺陷可能會影響同一服務提供商不同地理區(qū)域的后備數(shù)據(jù)中心中的設備，并且可能會挑戰(zhàn)云提供商（及其客戶）在風險管理和運營連續(xù)性方面經(jīng)常做出的假設。

研究人員接著指出，如果他們能夠在分析公開的源代碼后找到漏洞并編寫漏洞利用程序，那么就沒有什么可以阻止惡意行為者做同樣的事情。

即使無法訪問源代碼，仍然可以通過反編譯BMC固件映像來識別漏洞。沒有跡象表明惡意方已經(jīng)這樣做了，但也沒有辦法知道他們沒有這樣做。

研究人員私下向AMI通報了這些漏洞，該公司創(chuàng)建了固件補丁，客戶可以通過受限支持頁面獲取這些補丁。AMI還在此發(fā)布了一份公告。

漏洞是：

●CVE-2023-34329，通過HTTP標頭的身份驗證繞過，其嚴重性評級為9.9（滿分10）

●CVE-2023-34330，通過動態(tài)Redfish擴展進行代碼注入。其嚴重程度為8.2

存在多種利用后場景，具體取決于易受攻擊的環(huán)境內(nèi)的特定配置以及利用漏洞的各方使用的方法。當攻擊者將這兩個漏洞結合起來時，就會出現(xiàn)最可怕的結果。

當這兩個漏洞鏈接在一起時，即使是能夠通過網(wǎng)絡訪問BMC管理界面且沒有BMC憑據(jù)的遠程攻擊者，也可以通過欺騙BMC相信http請求來自內(nèi)部接口來實現(xiàn)遠程代碼執(zhí)行。因此，如果接口暴露，攻擊者可以遠程上傳并執(zhí)行任意代碼（可能來自互聯(lián)網(wǎng)）。

Redfish接口允許兩種身份驗證選項：“基本身份驗證”（使用某些BIOS固件支持的機制）和“無身份驗證”（僅驗證通信是否來自USBO網(wǎng)絡地址，也稱為內(nèi)部主機接口）。攻擊者可以利用CVE-2023來執(zhí)行惡意代碼。

通過欺騙某些HTTP標頭，攻擊者可以欺騙BMC，使其相信外部通信來自USB0內(nèi)部接口。當這與配置了“無身份驗證”選項的系統(tǒng)結合使用時，攻擊者可以繞過身份驗證并執(zhí)行Redfish API操作。

一個示例是創(chuàng)建一個冒充合法管理員并擁有所有系統(tǒng)權限的帳戶。

同時，可以在沒有身份驗證設置的系統(tǒng)上利用CVE-2023-34330來有效執(zhí)行他們選擇的代碼。如果未啟用no auth選項，攻擊者首先必須擁有BMC憑據(jù)。這是一個更高的標準，但對于經(jīng)驗豐富的演員來說絕不是遙不可及。

獲得服務器BMC訪問權限的攻擊者以及初次訪問數(shù)據(jù)中心或管理員網(wǎng)絡的攻擊者都可以利用這些漏洞。如果系統(tǒng)配置錯誤以允許直接訪問，則也可以通過互聯(lián)網(wǎng)利用該漏洞。另一種可能性是在破壞服務器操作系統(tǒng)后利用這些漏洞。

AMI更新為客戶提供了安全公司Nozomi Labs提供的其他五個漏洞的補丁。

runZero的首席技術官兼聯(lián)合創(chuàng)始人HD Moore是一位擁有通過BMC侵入數(shù)據(jù)中心經(jīng)驗的研究人員，他表示安裝更新至關重要。

Eclypsium識別的攻擊鏈允許遠程攻擊者完全且可能永久地破壞易受攻擊的MegaRAC BMC，這種攻擊是100%可靠的，而且事后很難檢測到。

如果環(huán)境具有以下任一條件，則更新易受攻擊的AMI固件不會特別繁重：

1)配置支持BMC的以太網(wǎng)，用于帶外管理以使用專用網(wǎng)絡，這對于許多云/托管提供商來說很常見）。BMC接口，包括Redfish和IPMI，允許遠程升級。

2)建立自動化流程，通過服務器操作系統(tǒng)本身推送補丁/升級。

依賴AMI支持的BMC來管理服務器的組織應盡快安裝更新。這些組織還應熟悉網(wǎng)絡安全和基礎設施安全局發(fā)布的操作指令23-02。

該指令對所有美國聯(lián)邦政府機構均具有約束力，并應被所有其他組織視為最佳實踐。