محققان امنیت سایبری از Eclypsium دو آسیب پذیری حیاتی را در نرم افزار AMI MegaRAC Baseboard Management Controller (BMC) کشف کرده اند.
این نرم افزار به گونه ای طراحی شده است که به تیم های فناوری اطلاعات دسترسی کامل به سرورهای مرکز ابری را ارائه می دهد و به آنها امکان می دهد سیستم عامل ها را مجدداً نصب کنند، برنامه ها را مدیریت کنند و نقاط پایانی را حتی زمانی که خاموش هستند مدیریت کنند. در زبان عامیانه صنعتی، نرم افزار امکان مدیریت سیستم از راه دور “خارج از باند” و “چراغ خاموش” را فراهم می کند.
این دو نقص بهعنوان CVE-2023-34329 (دور زدن احراز هویت از طریق جعل هدر HTTP) با نمره شدت 9.9 و CVE-2023-34330 (تزریق کد از طریق رابط برنامه افزودنی Redfish Dynamic) با امتیاز شدت 8.2 ردیابی میشوند. با زنجیر کردن این آسیبپذیریها، عوامل تهدید میتوانند از رابط مدیریت از راه دور Redfish استفاده کنند و قابلیتهای اجرای کد از راه دور را در سرورهای آسیبپذیر به دست آورند. با توجه به محبوبیت این ابزار، این میتواند به معنای میلیونها سرور باشد، زیرا سیستمافزار آسیبپذیر توسط برخی از بزرگترین تولیدکنندگان سرور در جهان استفاده میشود که به ارائهدهندگان خدمات ابری و مراکز داده با مشخصات بالا خدمات میدهند: AMD، Asus، ARM، Dell EMC، Gigabyte، Lenovo، Nvidia، Qualcomm، HPE، Huawei و غیره.
به گفته محققان، پتانسیل مخرب بسیار گسترده است، زیرا عوامل تهدید می توانند به داده های حساس دسترسی پیدا کنند، باج افزارها، تروجان ها را نصب کنند یا حتی سرورها را با قرار دادن آنها در یک حلقه راه اندازی مجدد بی پایان غیرقابل توقف، نصب کنند.
محققان در نوشته خود هشدار دادند: «ما همچنین باید تأکید کنیم که شناسایی چنین ایمپلنتی میتواند بسیار سخت باشد و بازآفرینی آن برای هر مهاجمی در قالب یک سوءاستفاده یک خطی بسیار آسان است».
از آن زمان یک پچ توسط AMI در دسترس قرار گرفت و به مشتریان خود توصیه کرد که فوراً آن را اعمال کنند، زیرا این بهترین راه برای محافظت در برابر خطرات احتمالی است.
تحلیل: چرا مهم است؟
نقص ها به دلیل پتانسیل مخرب بسیار زیادشان اهمیت دارند. از آنجایی که این موارد در تامینکننده قطعات سختافزاری یافت میشوند، میتوانند به بسیاری از ارائهدهندگان خدمات ابری سرازیر شوند و سازمانهای بیشماری را تحت تأثیر قرار دهند. آسیب پذیری هایی مانند این دو برابر با ضربه زدن به مادر حملات زنجیره تامین است.
همه چیز تقریباً دو سال پیش آغاز شد که یک عامل تهدید به نام RansomEXX نقاط پایانی متعلق به غول سختافزار رایانه گیگابایت را به خطر انداخت. کلاهبرداران بیش از 100 گیگابایت اطلاعات حساس از جمله اطلاعات متعلق به اینتل، AMD و از جمله AMI را به سرقت بردند. این دادهها متعاقباً به وب تاریک منتشر شد، جایی که محققان امنیت سایبری از Eclypsium (و همچنین سایرین، و احتمالاً – بسیاری از بازیگران مخرب) دریافت کردند.
محققان دو روز صفر را کشف کردند که سال ها در کمین داده ها بود. این شامل استفاده از رابط مدیریت از راه دور Redfish برای به دست آوردن قابلیت های اجرای کد از راه دور است. Redfish، Ars Technica در نوشتن خود توضیح می دهد، به عنوان جانشین ارائه دهندگان IPMI سنتی، و یک استاندارد API برای مدیریت زیرساخت سرور و سایر زیرساخت های مورد نیاز برای مراکز داده امروزی ارائه می دهد. این تقریباً توسط تمام فروشندگان سرور و زیرساخت و پروژه سفتافزار OpenBMC پشتیبانی میشود.
نقص ها در نرم افزار BMCs – Baseboard Management Controller یافت می شوند. این مدیران به مدیران وضعیت «حالت خدا» را بر روی سرورهایی که مدیریت میکنند اعطا میکنند. طبق گفته Ars Technica، AMI ارائهدهنده پیشرو در میانافزار BMC و BMC است و به طیف وسیعی از فروشندگان سختافزار و ارائهدهندگان خدمات ابری، از جمله بزرگترین نامهای خانوادگی خدمات میدهد.
محققان همچنین اضافه کردند که پس از تجزیه و تحلیل کد منبع در دسترس عموم، آنها توانستند آسیبپذیریها را پیدا کنند و بدافزار بنویسند و اظهار داشتند که هر عامل مخربی در آنجا میتواند همین کار را انجام دهد. حتی اگر به کد منبع دسترسی نداشتند، باز هم میتوانستند با کامپایل کردن تصاویر میانافزار MBC، ایرادات را شناسایی کنند. خبر خوب این است که هنوز هیچ مدرکی وجود ندارد که کسی این کار را انجام داده باشد.
دیگران در مورد عیب ها چه گفته اند؟
برای HD Moore، مدیر ارشد فناوری و یکی از بنیانگذاران runZero، اکنون بسیار مهم است که مشتریان بالقوه آسیبدیده را فوراً سیستمهای خود را وصله کنند: «زنجیره حمله شناساییشده توسط Eclypsium به مهاجم از راه دور اجازه میدهد تا به طور کامل و احتمالاً بهطور دائمی آسیبپذیرهای MegaRAC BMC را در معرض خطر قرار دهد». “این حمله 100٪ قابل اعتماد خواهد بود و پس از این واقعیت تشخیص آن دشوار است.”
او اضافه کرد که بهروزرسانی سیستم عامل AMI معیوب اگر محیطها وصلههای خودکار خود را انجام داده باشند، یا اگر اترنتهای مجهز به BMC را که برای مدیریت خارج از باند استفاده میشوند، برای استفاده از یک شبکه اختصاصی پیکربندی کرده باشند، نباید خیلی دردسرساز باشد.
در حالی که کاربران توییتر به طور کلی در مورد اخبار ساکت بودند، کاربری به نام Secure ICS OT که توییتهای ICS و مرتبط با امنیت ICS را توییت میکند، اظهار داشت: «در شبکه ایزوله در محل میخندد»، که نشان میدهد این بهترین راه برای ایمن ماندن است. در Reddit، کاربران پرحرفتر بودند و یکی از کاربران اهمیت یافتهها را کماهمیت میدانست: «این آنقدرها هم که به نظر میرسد بد نیست. چند مکان BMC آنها به روی شبکه باز است؟ اگر آنها دسترسی داشته باشند، به هر حال از قبل در شبکه شما هستند و شما مشکلات بزرگتری دارید.»
کاربر دیگری اضافه کرد: «من فرض میکنم اکثر مراکز داده دارای BMC، iDRAC، کنترلکنندههای چرخه حیات و غیره در یک VLAN مدیریتی هستند، بنابراین سطح حفاظتی دارند.» از سوی دیگر، 1.8 میلیارد کسب و کار کوچک وجود دارد که یک Dell T450 را با 192.168.1.x اداره می کنند.
عمیق تر برو
اگر میخواهید در مورد نقصها بیشتر بدانید، حتما مقاله اصلی ما را در مورد آن بخوانید نقض اطلاعات گیگابایت، و همچنین توضیح دهنده ما در مورد همه چیز باج افزار. سپس مطمئن شوید که راهنمای عمیق ما را بخوانید بهترین محافظت از باج افزار، و بهترین فایروال ها.
آخرین دیدگاهها