Durch Supermicro-Motherboards betriebene Unternehmensserver können durch virtuelles Anschließen bösartiger USB-Geräte aus der Ferne kompromittiert werden, teilten Cybersecurity-Forscher des Firmware-Sicherheitsunternehmens Eclypsium The Hacker News mit.
Ja das stimmt Sie können alle Arten von USB-Angriffen auf verwundbare Supermicro-Server starten, ohne physisch darauf zugreifen zu müssen oder darauf zu warten, dass Ihr Opfer ein unbekanntes, nicht vertrauenswürdiges USB-Laufwerk aufnimmt und es an den Computer anschließt.
Kollektiv synchronisiert "USBAnywhere"Der Angriff nutzt mehrere neu entdeckte Sicherheitslücken in der Firmware von BMC – Controllern aus, durch die ein unbefugter Angreifer von außerhalb eine Verbindung zu einem Supermicro – Server herstellen und ein bösartiges USB – Gerät virtuell aktivieren kann.
Ein Baseboard Management Controller (BMC) ist ein Hardware-Chip im Kern der IPMI-Dienstprogramme (Intelligent Platform Management Interface), mit denen Sysadmins einen Server fernsteuern und überwachen können, ohne auf das Betriebssystem oder zuzugreifen Anwendungen, die darauf ausgeführt werden.
Mit anderen Worten, BMC ist ein Out-of-Band-Verwaltungssystem, mit dem Administratoren ein Gerät remote neu starten, Protokolle analysieren, ein Betriebssystem installieren und die Firmware aktualisieren können. Dies macht es zu einer der privilegiertesten Komponenten der heutigen Unternehmenstechnologie.
Eine solche BMC-Funktion umfasst das Mounten virtueller Medien, um ein Festplatten-Image als virtuelle USB-CD-ROM oder als Diskettenlaufwerk mit einem Remote-Server zu verbinden.
Laut einem heute von Eclypsium veröffentlichten Bericht, der vor der Veröffentlichung mit The Hacker News geteilt wurde, verwenden BMCs auf Supermicro X9-, X10- und X11-Plattformen eine unsichere Implementierung, um den Client zu authentifizieren und USB-Pakete zwischen Client und Server zu transportieren.
Diese unten aufgeführten Schwachstellen können von einem Remoteangreifer leicht ausgenutzt werden, um den Authentifizierungsprozess über den auf TCP-Port 623 abhörenden Dienst für virtuelle Medien zu umgehen oder den Datenverkehr abzufangen, um schwach verschlüsselte BMC-Anmeldeinformationen oder vollständig unverschlüsselte Anmeldeinformationen wiederherzustellen.
- Klartext-Authentifizierung
- Unverschlüsselter Netzwerkverkehr
- Schwache Verschlüsselung
- Authentifizierungsumgehung (nur X10- und X11-Plattformen)
"Beim Remote-Zugriff ermöglicht der Virtual Media-Dienst die Klartextauthentifizierung, sendet den meisten Datenverkehr unverschlüsselt, verwendet im Übrigen einen schwachen Verschlüsselungsalgorithmus und ist anfällig für eine Umgehung der Authentifizierung", erklären die Forscher.
"Diese Probleme ermöglichen es einem Angreifer, auf einfache Weise auf einen Server zuzugreifen, indem er entweder das Authentifizierungspaket eines legitimen Benutzers unter Verwendung der Standardanmeldeinformationen und in einigen Fällen ohne Anmeldeinformationen erfasst."
Sobald die Verbindung hergestellt ist, können Angreifer über den beeinträchtigten virtuellen Mediendienst als unformatiertes USB-Gerät mit dem Host-System interagieren. Auf diese Weise können sie alle Aktionen ausführen, die mit dem physischen Zugriff auf einen USB-Anschluss möglich sind, einschließlich:
- Datenexfiltration,
- Malware-Implantat,
- Booten von nicht vertrauenswürdigen Betriebssystem-Images,
- direkte Manipulation des Systems über eine virtuelle Tastatur und Maus und
- Deaktivieren Sie das Gerät vollständig.
Nach Angaben der Forscher ergab ein Scan des TCP-Ports 623 über das Internet, dass mehr als 47.000 BMCs aus über 90 verschiedenen Ländern mit dem betroffenen BMC-Firmware-Dienst für virtuelle Medien öffentlich zugänglich waren.
Neben der Ausnutzung von BMCs, bei denen virtuelle Mediendienste direkt im Internet verfügbar sind, können diese Schwachstellen auch von einem Angreifer mit Zugriff auf ein geschlossenes Unternehmensnetzwerk oder von Man-in-the-Middle-Angreifern innerhalb der clientseitigen Netzwerke ausgenutzt werden.
Die Forscher meldeten ihre Ergebnisse im Juni und Juli dieses Jahres an Supermicro. Das Unternehmen erkannte die Probleme im August an und veröffentlichte vor dem 3. September ein Firmware-Update für die Plattformen X9, X10 und X11.
Unternehmen werden daher aufgefordert, ihre BMC-Firmware so bald wie möglich zu aktualisieren. Darüber hinaus ist es wichtig sicherzustellen, dass BMCs niemals direkt dem Internet ausgesetzt werden, da eine direkte Exposition gegenüber dem Internet die Wahrscheinlichkeit solcher Angriffe erheblich erhöht.
