Этот крупномасштабный взлом может затронуть серверы по всему миру.

В критической серверной прошивке обнаружено множество критических уязвимостей.

Исследователи кибербезопасности из Eclypsium обнаружили несколько случаев повышенной уязвимости в программном обеспечении AMI MegaRAC Baseboard Management Controller (BMC).

Программное обеспечение предназначено для предоставления ИТ-командам доступа к облачным серверам, что позволяет им переустанавливать операционные системы и управлять приложениями и конечными точками, даже если они отключены. На жаргоне прикладной индустрии программное обеспечение позволяет «внеполосное» и «автоматизированное» управление удаленными пакетами.

Две уязвимости отслеживаются как CVE-2023-34329 серьезности 9.9 (обход аутентификации с использованием спуфинга HTTP-заголовка) и CVE-2023-34330 серьезности 8.2 (внедрение кода через динамический интерфейс расширения Redfish). Путем объединения этих уязвимостей порт интерфейса удаленного управления Redfish распространяется и появляется возможность удаленного выполнения кода на уязвимых серверах. Уязвимые прошивки для серверов, обслуживающих высококлассные облачные сервисы и дата-центры из Европы: AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, HPE, Huawei и др.

Исследователи говорят, что эта угроза настолько широко распространена, что может получить доступ к конфиденциальным данным, установить программы-вымогатели, троянские кони и даже заблокировать серверы, отправив их в неостановимый бесконечный цикл восстановления.

Они обнаружили в документе: «Нам также необходимо установить, что имплантат может быть недоступным, но легко обнаруживаемым как однолинейный опыт при любой распространенности.

С тех пор AMI в Европе были исправлены, что сделало его тщательно изученным как предпочтительный способ пойти на опасные компромиссы.

Анализ: почему это важно?

В связи с чрезвычайной ситуацией важны ограничения. Они обнаруживаются во многих аппаратных компонентах, проникают во многих поставщиков облачных услуг и захватывают бесчисленное количество организаций. Уязвимости, такие как демонстрации, равносильны отказу от атаки по цепочке событий.

Все началось около двух лет назад, когда владелец по имени RansomEXX взломал конечную точку, принадлежащую гиганту компьютерного оборудования GIGABYTE. Злоумышленники похитили более 100 ГБ конфиденциальных данных, включая информацию, принадлежащую Intel, AMD и особенно AMI. Переносимые данные просочились в даркнет, где они были собраны для предотвращения сетевой безопасности Eclypsium (и, возможно, многих других).

Исследователи заразили два эксплойта нулевого дня, которые годами скрывались в данных. Он включает в себя использование фасада удаленного управления Redfish для обнаружения возможностей удаленного выполнения кода. Редфиш, ведущий Ars Technica, в своем обзоре является преемником исключения IPMI и предоставляет стандарт API для управления серверной инфраструктурой и интерфейсной инфраструктурой, пересечением современного центра обработки данных. В нем есть почти все поставщики серверов, а также проекты прошивок OpenBMC.

В обзоре программного обеспечения найдены BMC — контроллеры управления основной платой. Они получают статус администратора «Режим Бога» на серверах, которыми они управляют на регулярной основе. По данным Ars Technica, AMI является ведущим поставщиком BMC, разрабатывающим программное обеспечение BMC, которое обслуживает широкий спектр предприятий и облачных сервисов, включая крупных поставщиков с несколькими поставщиками.

Исследователи также добавили, что после анализа общедоступного исходного кода они обнаружили уязвимость и написали вредоносное ПО, заявив, что любой, кто найдет его, может сделать то же самое. Даже если у них нет доступа к исходному коду, они все равно могут найти выход, декомпилировав образ прошивки MBC. Хорошая новость заключается в том, что пока нет никаких доказательств того, что кто-то это сделал.

Что другие говорят о последствиях?

Для HD Мур, технический директор и соучредитель runZero, теперь должен подозревать уязвимости и исследовать свои системы: «Цепочка атак, идентифицированная Eclypsium, позволяет удаленному обнаружению полностью и, возможно, навсегда скомпрометировать угрозу BMC MegaRAC», — сказал он. «Такая атака была бы на 100% надежной и ее трудно получить постфактум».

Он добавил, что если среда уже автоматизирована, настроена с использованием Ethernet с поддержкой BMC, используется для внеполосного управления или использует выделенную сеть, то у вас не должно возникнуть особых проблем с обновлением прошивки рассматриваемого AMI.

В то время как пользователи Twitter, как правило, хранили молчание по поводу новостей, пользователь Secure ICS OT, который следит за твитами, связанными с ICS и безопасностью ICS, прокомментировал: «Смеется над разрозненными сетями» и сказал, что это лучший способ оставаться в безопасности. На Reddit, где пользователи были более болтливыми, один пользователь преуменьшил важный результат: «Это не так плохо, как кажется. Сколько местоположений BMC открыты для сети? Если у них есть доступ, то они в любом случае уже в вашей сети, и у вас проблемы посерьезнее», — сказали они.

«Я предполагаю, что в большинстве центров обработки данных есть BMC, iDRAC, контроллеры жизненного цикла и т д в VLAN управления, поэтому они имеют определенный уровень защиты», — добавил другой пользователь. «С другой стороны, 1,8 миллиарда предприятий используют Dell T450 с 192.168.1.x».

Иди глубже

Если вы хотите узнать больше об этих уязвимостях, обязательно прочитайте нашу оригинальную статью об утечке данных Gigabyte, а также нашу белую книгу о программах-вымогателях на все случаи жизни. Обязательно ознакомьтесь с нашими подробными руководствами по защите от программ-вымогателей и лучшим брандмауэрам .

Вы профессионалы? Подписывайтесь на нашу новостную рассылку

Подпишитесь на информационный бюллетень TechRadar Pro, чтобы получать все самые важные новости, мнения, функции и советы, которые нужны вашему бизнесу!

Пожалуйста, свяжитесь со мной для получения новостей и предложений от других брендов Future. Чтобы получать электронные письма от нас от имени наших бесплатных партнеров или спонсоров. Отправляя свою информацию, вы соглашаетесь с Условиями использования и Политикой конфиденциальности, и вам больше 16 лет.