این هک در مقیاس بزرگ می تواند میلیون ها سرور را در سراسر جهان تحت تأثیر قرار دهد

محققان امنیت سایبری از Eclypsium دو آسیب پذیری حیاتی را در نرم افزار AMI MegaRAC Baseboard Management Controller (BMC) کشف کرده اند.

این نرم افزار به گونه ای طراحی شده است که به تیم های فناوری اطلاعات دسترسی کامل به سرورهای مرکز ابری را ارائه می دهد و به آنها امکان می دهد سیستم عامل ها را مجدداً نصب کنند، برنامه ها را مدیریت کنند و نقاط پایانی را حتی زمانی که خاموش هستند مدیریت کنند. در زبان عامیانه صنعتی، نرم افزار امکان مدیریت سیستم از راه دور “خارج از باند” و “چراغ خاموش” را فراهم می کند.

این دو نقص به‌عنوان CVE-2023-34329 (دور زدن احراز هویت از طریق جعل هدر HTTP) با نمره شدت 9.9 و CVE-2023-34330 (تزریق کد از طریق رابط برنامه افزودنی Redfish Dynamic) با امتیاز شدت 8.2 ردیابی می‌شوند. با زنجیر کردن این آسیب‌پذیری‌ها، عوامل تهدید می‌توانند از رابط مدیریت از راه دور Redfish استفاده کنند و قابلیت‌های اجرای کد از راه دور را در سرورهای آسیب‌پذیر به دست آورند. با توجه به محبوبیت این ابزار، این می‌تواند به معنای میلیون‌ها سرور باشد، زیرا سیستم‌افزار آسیب‌پذیر توسط برخی از بزرگترین تولیدکنندگان سرور در جهان استفاده می‌شود که به ارائه‌دهندگان خدمات ابری و مراکز داده با مشخصات بالا خدمات می‌دهند: AMD، Asus، ARM، Dell EMC، Gigabyte، Lenovo، Nvidia، Qualcomm، HPE، Huawei و غیره.

به گفته محققان، پتانسیل مخرب بسیار گسترده است، زیرا عوامل تهدید می توانند به داده های حساس دسترسی پیدا کنند، باج افزارها، تروجان ها را نصب کنند یا حتی سرورها را با قرار دادن آنها در یک حلقه راه اندازی مجدد بی پایان غیرقابل توقف، نصب کنند.

محققان در نوشته خود هشدار دادند: «ما همچنین باید تأکید کنیم که شناسایی چنین ایمپلنتی می‌تواند بسیار سخت باشد و بازآفرینی آن برای هر مهاجمی در قالب یک سوءاستفاده یک خطی بسیار آسان است».

از آن زمان یک پچ توسط AMI در دسترس قرار گرفت و به مشتریان خود توصیه کرد که فوراً آن را اعمال کنند، زیرا این بهترین راه برای محافظت در برابر خطرات احتمالی است.

تحلیل: چرا مهم است؟

نقص ها به دلیل پتانسیل مخرب بسیار زیادشان اهمیت دارند. از آنجایی که این موارد در تامین‌کننده قطعات سخت‌افزاری یافت می‌شوند، می‌توانند به بسیاری از ارائه‌دهندگان خدمات ابری سرازیر شوند و سازمان‌های بی‌شماری را تحت تأثیر قرار دهند. آسیب پذیری هایی مانند این دو برابر با ضربه زدن به مادر حملات زنجیره تامین است.

همه چیز تقریباً دو سال پیش آغاز شد که یک عامل تهدید به نام RansomEXX نقاط پایانی متعلق به غول سخت‌افزار رایانه گیگابایت را به خطر انداخت. کلاهبرداران بیش از 100 گیگابایت اطلاعات حساس از جمله اطلاعات متعلق به اینتل، AMD و از جمله AMI را به سرقت بردند. این داده‌ها متعاقباً به وب تاریک منتشر شد، جایی که محققان امنیت سایبری از Eclypsium (و همچنین سایرین، و احتمالاً – بسیاری از بازیگران مخرب) دریافت کردند.

محققان دو روز صفر را کشف کردند که سال ها در کمین داده ها بود. این شامل استفاده از رابط مدیریت از راه دور Redfish برای به دست آوردن قابلیت های اجرای کد از راه دور است. Redfish، Ars Technica در نوشتن خود توضیح می دهد، به عنوان جانشین ارائه دهندگان IPMI سنتی، و یک استاندارد API برای مدیریت زیرساخت سرور و سایر زیرساخت های مورد نیاز برای مراکز داده امروزی ارائه می دهد. این تقریباً توسط تمام فروشندگان سرور و زیرساخت و پروژه سفت‌افزار OpenBMC پشتیبانی می‌شود.

نقص ها در نرم افزار BMCs – Baseboard Management Controller یافت می شوند. این مدیران به مدیران وضعیت «حالت خدا» را بر روی سرورهایی که مدیریت می‌کنند اعطا می‌کنند. طبق گفته Ars Technica، AMI ارائه‌دهنده پیشرو در میان‌افزار BMC و BMC است و به طیف وسیعی از فروشندگان سخت‌افزار و ارائه‌دهندگان خدمات ابری، از جمله بزرگ‌ترین نام‌های خانوادگی خدمات می‌دهد.

محققان همچنین اضافه کردند که پس از تجزیه و تحلیل کد منبع در دسترس عموم، آنها توانستند آسیب‌پذیری‌ها را پیدا کنند و بدافزار بنویسند و اظهار داشتند که هر عامل مخربی در آنجا می‌تواند همین کار را انجام دهد. حتی اگر به کد منبع دسترسی نداشتند، باز هم می‌توانستند با کامپایل کردن تصاویر میان‌افزار MBC، ایرادات را شناسایی کنند. خبر خوب این است که هنوز هیچ مدرکی وجود ندارد که کسی این کار را انجام داده باشد.

دیگران در مورد عیب ها چه گفته اند؟

برای HD Moore، مدیر ارشد فناوری و یکی از بنیان‌گذاران runZero، اکنون بسیار مهم است که مشتریان بالقوه آسیب‌دیده را فوراً سیستم‌های خود را وصله کنند: «زنجیره حمله شناسایی‌شده توسط Eclypsium به مهاجم از راه دور اجازه می‌دهد تا به طور کامل و احتمالاً به‌طور دائمی آسیب‌پذیرهای MegaRAC BMC را در معرض خطر قرار دهد». “این حمله 100٪ قابل اعتماد خواهد بود و پس از این واقعیت تشخیص آن دشوار است.”

او اضافه کرد که به‌روزرسانی سیستم عامل AMI معیوب اگر محیط‌ها وصله‌های خودکار خود را انجام داده باشند، یا اگر اترنت‌های مجهز به BMC را که برای مدیریت خارج از باند استفاده می‌شوند، برای استفاده از یک شبکه اختصاصی پیکربندی کرده باشند، نباید خیلی دردسرساز باشد.

در حالی که کاربران توییتر به طور کلی در مورد اخبار ساکت بودند، کاربری به نام Secure ICS OT که توییت‌های ICS و مرتبط با امنیت ICS را توییت می‌کند، اظهار داشت: «در شبکه ایزوله در محل می‌خندد»، که نشان می‌دهد این بهترین راه برای ایمن ماندن است. در Reddit، کاربران پرحرف‌تر بودند و یکی از کاربران اهمیت یافته‌ها را کم‌اهمیت می‌دانست: «این آنقدرها هم که به نظر می‌رسد بد نیست. چند مکان BMC آنها به روی شبکه باز است؟ اگر آنها دسترسی داشته باشند، به هر حال از قبل در شبکه شما هستند و شما مشکلات بزرگتری دارید.»

کاربر دیگری اضافه کرد: «من فرض می‌کنم اکثر مراکز داده دارای BMC، iDRAC، کنترل‌کننده‌های چرخه حیات و غیره در یک VLAN مدیریتی هستند، بنابراین سطح حفاظتی دارند.» از سوی دیگر، 1.8 میلیارد کسب و کار کوچک وجود دارد که یک Dell T450 را با 192.168.1.x اداره می کنند.

عمیق تر برو

اگر می‌خواهید در مورد نقص‌ها بیشتر بدانید، حتما مقاله اصلی ما را در مورد آن بخوانید نقض اطلاعات گیگابایت، و همچنین توضیح دهنده ما در مورد همه چیز باج افزار. سپس مطمئن شوید که راهنمای عمیق ما را بخوانید بهترین محافظت از باج افزار، و بهترین فایروال ها.