Două vulnerabilități grave ale firmware-ului de control al sistemului de gestionare a bazei de bord (BMC) utilizate de Lenovo, Gigabyte și alte fabrici din unele produse pentru servere pot fi exploatate pentru a ascunde malware de sistemele de operare, hipervizor și sisteme antivirus, avertizează cercetătorii. Un BMC este un procesor de servicii specializat care monitorizează starea fizică a unui computer, server de rețea sau alt dispozitiv hardware folosind senzori și comunicând cu administratorul de sistem printr-o conexiune independentă.
Vulnerabilitățile au fost descoperite de cercetătorii de la firma de securitate Eclypsium în timpul unei investigații privind vulnerabilitățile firmware-ului BMC din lanțul de aprovizionare. Vulnerabilitățile firmware-ului BMC de la terțe părți de la Vertiv (anterior Avocent) au făcut ca întreprinderile să fie sensibile la pierderea de date și la deteriorarea permanentă a hardware-ului, permițând în același timp atacatorilor să persiste chiar și pe o nouă instalare a sistemului de operare.
Prima vulnerabilitate este o eșec în procesul de actualizare a verificării semnăturii criptografice înainte de a accepta actualizări, în timp ce a doua se referă la vulnerabilitatea la injectarea comenzii în codul din BMC care efectuează procesul de actualizare a firmware-ului.
Ambele probleme permit unui atacator care rulează cu privilegii administrative pe gazdă (cum ar fi prin exploatarea unei vulnerabilități diferite bazate pe gazdă) să ruleze cod arbitrar în cadrul BMC, iar modificările dăunătoare ale firmware-ului BMC pot fi folosite de un atacator pentru a menține persistența în sistem și supraviețuirea unor etape comune de răspuns la incidente, cum ar fi reinstalarea sistemului de operare, au descoperit cercetătorii.
Un atac ar putea, de asemenea, modifica mediul din BMC pentru a preveni alte actualizări de firmware prin mecanisme software, permițând astfel unui atacator să dezactiveze permanent BMC, iar mecanismul de actualizare ar putea fi exploatat de la distanță dacă atacatorul a putut capta parola de administrare pentru BMC.
Lenovo a fost primul care a făcut public cu descoperirea, precizând într-un aviz de securitate că a luat cunoștință de faptul că, în anumite servere vechi marca Lenovo ThinkServer, există o vulnerabilitate la injectarea comenzii în comanda de descărcare a firmware-ului BMC. Lenovo a mulțumit echipei de cercetare Eclypsium că a notificat vulnerabilitățile și a îndemnat clienții să se asigure că au actualizat firmware-ul BMC pentru produsele afectate. De asemenea, Lenovo a recomandat clienților serverului să restricționeze accesul privilegiat autorizat la administratorii de încredere.
GigaByte a publicat o versiune actualizată a firmware-ului pentru a remedia vulnerabilitatea la injectarea comenzilor pentru sistemele care utilizează AST2500 la 8 mai 2019, dar nu a lansat un aviz pentru această problemă. Versiunea de firmware AST2400 a rămas neatribuită începând cu 21 iunie 2019, au spus cercetătorii, adăugând că Vertiv nu a răspuns comunicărilor lor.
În plus față de produsele Lenovo și Gigabyte care folosesc firmware-ul BMC de la Vertiv, cercetătorii de la Eclypsium au spus că Gigabyte oferă și placi de bază pentru integratori de sistem mai mici, care apoi construiesc sisteme complete sub propria lor marcă. Aceasta înseamnă că firmware-ul vulnerabil a fost inclus pe servere de la o serie de furnizori, inclusiv Acer, AMAX, Bigtera, Ciara, Penguin Computing și sysGen.
