0
0
Cinco vulnerabilidades no firmware do controlador de gerenciamento de placa base (BMC) usado em servidores de 15 grandes fornecedores podem dar aos invasores a capacidade de comprometer remotamente os sistemas amplamente usados em data centers e serviços em nuvem.
As vulnerabilidades, duas das quais foram divulgadas esta semana pela empresa de segurança de hardware Eclypsium, ocorrem em plataformas de computação system-on-chip (SoC) que usam o software MegaRAC Baseboard Management Controller (BMC) da AMI para gerenciamento remoto. As falhas podem afetar servidores produzidos por pelo menos 15 fornecedores, incluindo AMD, Asus, ARM, Dell, EMC, Hewlett-Packard Enterprise, Huawei, Lenovo e Nvidia.
O Eclypsium divulgou três das vulnerabilidades em dezembro, mas reteve informações sobre duas falhas adicionais até esta semana, a fim de permitir que a AMI tenha mais tempo para mitigar os problemas.
Como as vulnerabilidades só podem ser exploradas se os servidores estiverem conectados diretamente à Internet, é difícil medir a extensão das vulnerabilidades, diz Nate Warfield, diretor de pesquisa e inteligência de ameaças da Eclypsium.
“Realmente não sabemos qual é o raio de explosão nisso, porque, embora conheçamos algumas das plataformas, não temos detalhes sobre [o quão] prolíficas essas coisas são”, diz ele. “Você sabe, eles venderam 100.000 deles? Eles venderam 10 milhões deles? Nós simplesmente não sabemos.”
Os controladores de gerenciamento da placa-mãe são normalmente um único chip — ou sistema em chip (SoC) — instalado em uma placa-mãe para permitir que os administradores gerenciem servidores remotamente com controle quase total. O MegaRAC da AMI é uma coleção de software baseada no projeto de firmware Open BMC, um projeto de código aberto para desenvolver e manter um firmware de controlador de gerenciamento de placa base acessível.
Muitos fabricantes de servidores confiam no software BMC para permitir que os administradores assumam o controle completo do hardware do servidor em um nível baixo, dando-lhe acesso a recursos “desligados”, afirmou o comunicado da Eclypsium . Como o software é amplamente utilizado, a pegada dos recursos vulneráveis é bastante grande.
“[V]ulnerabilidades em um fornecedor de componentes afetam muitos fornecedores de hardware, que por sua vez podem passar para muitos serviços em nuvem”, afirmou a Eclypsium em seu comunicado. “Como tal, essas vulnerabilidades podem representar um risco para os servidores e hardware que uma organização possui diretamente, bem como o hardware que suporta os serviços em nuvem que eles usam”.
O AMI é o mais recente fabricante de software de controlador de gerenciamento de placa base (BMC) a ter vulnerabilidades encontradas em seu código. Em 2022, a Eclypsium também encontrou vulnerabilidades nos servidores da Quanta Cloud Technology (QCT) que são de uso comum por empresas de nuvem. E pesquisas anteriores da empresa em 2020 descobriram que a falta de firmware assinado em laptops e servidores pode permitir que um invasor instale um cavalo de Tróia para controlar remotamente os dispositivos.
Defeitos de dezembro mais sérios
As duas últimas falhas lançadas em 30 de janeiro incluem dois problemas de menor gravidade. A primeira vulnerabilidade ( CVE-2022-26872 ) oferece ao invasor a capacidade de redefinir uma senha se puder cronometrar o ataque durante uma janela estreita entre a validação de uma senha única e o envio da nova senha pelo usuário. No segundo problema de segurança ( CVE-2022-40258 ), o arquivo de senha é hash com um algoritmo fraco, afirmou o Eclypsium.
Ambos os problemas são menos graves do que as três vulnerabilidades divulgadas em dezembro, que incluem duas vulnerabilidades — um comando perigoso na API do BMC ( CVE-2022-40259 ) e uma credencial padrão ( CVE-2022-40242 ) — que podem permitir o código remoto simples execução, afirmou a Eclypsium no comunicado. A outra vulnerabilidade ( CVE-2022-2827 ) permite que um invasor enumere nomes de usuários remotamente por meio da API.
A API Redfish substitui as versões anteriores da Intelligent Platform Management Interface (IPMI) em data centers modernos, com suporte dos principais fornecedores de servidores e do projeto Open BMC, de acordo com a Eclypsium.
A Eclypsium conduziu sua análise do software AMI depois que o código vazou na Internet por um grupo de ransomware. AMI não é considerada a fonte do código de software vazado; em vez disso, o código é resultado de um fornecedor terceirizado sendo atingido por ransomware, diz Warfield.
“O que descobrimos no verão foi que alguém vazou propriedade intelectual de várias empresas de tecnologia na Internet”, diz ele. “E, enquanto vasculhávamos … tentando descobrir o que era e quem o possuía, encontramos parte da propriedade intelectual da AMI. Então, meio que começamos a investigar para ver o que poderíamos encontrar.”
Taxa de correção desconhecida
A AMI emitiu software corrigido para todas as cinco vulnerabilidades, e agora a mitigação das vulnerabilidades está nas mãos dos fabricantes de servidores e seus clientes.
Muitos fornecedores – como HPE, Intel e Lenovo – já emitiram avisos para seus clientes. No entanto, a correção desses servidores ficará a cargo das empresas que possuem os servidores implantados em seus data centers.
O patch de firmware tende a acontecer em um ritmo glacial, o que deve ser uma preocupação, diz Warfield.
“A parte complicada é o tempo entre o lançamento dos patches e as pessoas realmente os aplicando”, diz ele. “O BMC não é algo com, tipo, um mecanismo de atualização do Windows, onde você pode dizer, ‘Oh, eu tenho 100.000 servidores afetados. Deixe-me enviar isso para todos eles’.”
FONTE: DARK READING