本文來自微信公眾號“網(wǎng)絡(luò)研究院”。
兩年前,勒索軟件騙子入侵了硬件制造商Gigabyte,并泄露了超過112 GB的數(shù)據(jù),其中包括來自英特爾和AMD等一些最重要的供應(yīng)鏈合作伙伴的信息。
現(xiàn)在,研究人員警告稱,泄露的信息揭示了可能構(gòu)成嚴重零日漏洞的漏洞,可能危及計算世界的大片地區(qū)。
這些漏洞存在于位于佐治亞州德盧斯的AMI為BMC(基板管理控制器)制作的固件內(nèi)。
這些焊接到服務(wù)器主板上的微型計算機允許云中心(有時還包括其客戶)簡化大量計算機的遠程管理。它們使管理員能夠遠程重新安裝操作系統(tǒng)、安裝和卸載應(yīng)用程序以及控制系統(tǒng)的幾乎所有其他方面-即使系統(tǒng)已關(guān)閉。
BMC提供業(yè)界所謂的“無人值守”系統(tǒng)管理。
安全公司Eclypsium的研究人員分析了2021年勒索軟件攻擊中泄露的AMI固件,并發(fā)現(xiàn)了潛伏多年的漏洞。任何能夠訪問行業(yè)標準遠程管理界面(稱為Redfish)的本地或遠程攻擊者都可以利用它們來執(zhí)行在數(shù)據(jù)中心內(nèi)的每臺服務(wù)器上運行的惡意代碼。
在使用4月份分發(fā)給客戶的更新AMI修補這些漏洞之前,它們?yōu)閻阂夂诳停o論是出于經(jīng)濟動機還是國家資助)提供了一種在世界上一些最敏感的云環(huán)境中獲得超級用戶身份的手段。
從那里,攻擊者可以安裝勒索軟件和間諜惡意軟件,這些惡意軟件在受感染計算機內(nèi)的某些最低級別上運行。
成功的攻擊者還可能對服務(wù)器造成物理損壞或受害組織無法中斷的無限期重啟循環(huán)。Eclypsium警告稱,此類事件可能會導(dǎo)致“永遠熄燈”的情況。
在周四發(fā)表的一篇文章中,Eclypsium研究人員寫道:
這些漏洞的嚴重程度從“高”到“嚴重”不等,包括未經(jīng)身份驗證的遠程代碼執(zhí)行和具有超級用戶權(quán)限的未經(jīng)授權(quán)的設(shè)備訪問。它們可能被有權(quán)訪問Redfish遠程管理界面或受感染主機操作系統(tǒng)的遠程攻擊者利用。
Redfish是傳統(tǒng)IPMI的繼承者,提供了用于管理服務(wù)器基礎(chǔ)設(shè)施和支持現(xiàn)代數(shù)據(jù)中心的其他基礎(chǔ)設(shè)施的API標準。Redfish受到幾乎所有主要服務(wù)器和基礎(chǔ)設(shè)施供應(yīng)商以及現(xiàn)代超大規(guī)模環(huán)境中經(jīng)常使用的OpenBMC固件項目的支持。
這些漏洞對云計算基礎(chǔ)的技術(shù)供應(yīng)鏈構(gòu)成了重大風險。簡而言之,組件供應(yīng)商的漏洞會影響許多硬件供應(yīng)商,進而可能傳遞到許多云服務(wù)。
因此,這些漏洞可能會對組織直接擁有的服務(wù)器和硬件以及支持其使用的云服務(wù)的硬件構(gòu)成風險。它們還可能影響組織的上游供應(yīng)商,應(yīng)與主要的第三方進行討論,作為一般供應(yīng)鏈風險管理盡職調(diào)查的一部分。
BMC旨在為管理員提供對其管理的服務(wù)器近乎完全的遠程控制。AMI是向眾多硬件供應(yīng)商和云服務(wù)提供商提供BMC和BMC固件的領(lǐng)先提供商。因此,這些漏洞會影響大量設(shè)備,并且可能使攻擊者不僅能夠控制設(shè)備,而且還會對數(shù)據(jù)中心和云服務(wù)基礎(chǔ)設(shè)施造成損害。
相同的邏輯缺陷可能會影響同一服務(wù)提供商不同地理區(qū)域的后備數(shù)據(jù)中心中的設(shè)備,并且可能會挑戰(zhàn)云提供商(及其客戶)在風險管理和運營連續(xù)性方面經(jīng)常做出的假設(shè)。
研究人員接著指出,如果他們能夠在分析公開的源代碼后找到漏洞并編寫漏洞利用程序,那么就沒有什么可以阻止惡意行為者做同樣的事情。
即使無法訪問源代碼,仍然可以通過反編譯BMC固件映像來識別漏洞。沒有跡象表明惡意方已經(jīng)這樣做了,但也沒有辦法知道他們沒有這樣做。
研究人員私下向AMI通報了這些漏洞,該公司創(chuàng)建了固件補丁,客戶可以通過受限支持頁面獲取這些補丁。AMI還在此發(fā)布了一份公告。
漏洞是:
●CVE-2023-34329,通過HTTP標頭的身份驗證繞過,其嚴重性評級為9.9(滿分10)
●CVE-2023-34330,通過動態(tài)Redfish擴展進行代碼注入。其嚴重程度為8.2
存在多種利用后場景,具體取決于易受攻擊的環(huán)境內(nèi)的特定配置以及利用漏洞的各方使用的方法。當攻擊者將這兩個漏洞結(jié)合起來時,就會出現(xiàn)最可怕的結(jié)果。
當這兩個漏洞鏈接在一起時,即使是能夠通過網(wǎng)絡(luò)訪問BMC管理界面且沒有BMC憑據(jù)的遠程攻擊者,也可以通過欺騙BMC相信http請求來自內(nèi)部接口來實現(xiàn)遠程代碼執(zhí)行。因此,如果接口暴露,攻擊者可以遠程上傳并執(zhí)行任意代碼(可能來自互聯(lián)網(wǎng))。
Redfish接口允許兩種身份驗證選項:“基本身份驗證”(使用某些BIOS固件支持的機制)和“無身份驗證”(僅驗證通信是否來自USBO網(wǎng)絡(luò)地址,也稱為內(nèi)部主機接口)。攻擊者可以利用CVE-2023來執(zhí)行惡意代碼。
通過欺騙某些HTTP標頭,攻擊者可以欺騙BMC,使其相信外部通信來自USB0內(nèi)部接口。當這與配置了“無身份驗證”選項的系統(tǒng)結(jié)合使用時,攻擊者可以繞過身份驗證并執(zhí)行Redfish API操作。
一個示例是創(chuàng)建一個冒充合法管理員并擁有所有系統(tǒng)權(quán)限的帳戶。
同時,可以在沒有身份驗證設(shè)置的系統(tǒng)上利用CVE-2023-34330來有效執(zhí)行他們選擇的代碼。如果未啟用no auth選項,攻擊者首先必須擁有BMC憑據(jù)。這是一個更高的標準,但對于經(jīng)驗豐富的演員來說絕不是遙不可及。
獲得服務(wù)器BMC訪問權(quán)限的攻擊者以及初次訪問數(shù)據(jù)中心或管理員網(wǎng)絡(luò)的攻擊者都可以利用這些漏洞。如果系統(tǒng)配置錯誤以允許直接訪問,則也可以通過互聯(lián)網(wǎng)利用該漏洞。另一種可能性是在破壞服務(wù)器操作系統(tǒng)后利用這些漏洞。
AMI更新為客戶提供了安全公司Nozomi Labs提供的其他五個漏洞的補丁。
runZero的首席技術(shù)官兼聯(lián)合創(chuàng)始人HD Moore是一位擁有通過BMC侵入數(shù)據(jù)中心經(jīng)驗的研究人員,他表示安裝更新至關(guān)重要。
Eclypsium識別的攻擊鏈允許遠程攻擊者完全且可能永久地破壞易受攻擊的MegaRAC BMC,這種攻擊是100%可靠的,而且事后很難檢測到。
如果環(huán)境具有以下任一條件,則更新易受攻擊的AMI固件不會特別繁重:
1)配置支持BMC的以太網(wǎng),用于帶外管理以使用專用網(wǎng)絡(luò),這對于許多云/托管提供商來說很常見)。BMC接口,包括Redfish和IPMI,允許遠程升級。
2)建立自動化流程,通過服務(wù)器操作系統(tǒng)本身推送補丁/升級。
依賴AMI支持的BMC來管理服務(wù)器的組織應(yīng)盡快安裝更新。這些組織還應(yīng)熟悉網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局發(fā)布的操作指令23-02。
該指令對所有美國聯(lián)邦政府機構(gòu)均具有約束力,并應(yīng)被所有其他組織視為最佳實踐。