Novas vulnerabilidades significam que é hora de revisar as interfaces do servidor BMC
Duas vulnerabilidades recentemente descobertas em controladores de gerenciamento de base amplamente utilizados podem dar aos agentes de ameaças remotos e locais controle total sobre os servidores.
A frequência e a gravidade dos problemas de segurança encontrados ao longo dos anos no firmware dos controladores de gerenciamento de placa base (BMCs) presentes nas placas-mãe dos servidores destacam uma área frequentemente negligenciada, mas crítica, da segurança da infraestrutura de TI. A mais recente adição à crescente lista de falhas são duas vulnerabilidades em uma interface de gerenciamento “lights out” amplamente utilizada por diferentes fabricantes de servidores. Quando explorados em conjunto, eles poderiam fornecer aos invasores remotos e locais controle total sobre os servidores afetados em um nível baixo e difícil de detectar.
“O impacto da exploração dessas vulnerabilidades inclui controle remoto de servidores comprometidos, implantação remota de malware, implantação de ransomware e firmware ou bloqueio de componentes da placa-mãe (BMC ou potencialmente BIOS/UEFI), possíveis danos físicos aos servidores (sobretensão/bloqueio de firmware), e ciclos de reinicialização indefinidos que uma organização vítima não pode interromper”, disseram recentemente pesquisadores da empresa de segurança de firmware Eclypsium em um relatório. “Luzes apagadas, de fato.”
BMCs são microcontroladores especializados que possuem firmware e sistema operacional próprios, memória dedicada, alimentação e portas de rede. Eles são usados para gerenciamento fora de banda de servidores quando seus sistemas operacionais primários são desligados. BMCs são essencialmente computadores menores executados dentro de servidores e permitem que os administradores executem tarefas de manutenção remotamente, como reinstalar sistemas operacionais, reiniciar servidores quando eles não responderem mais, implantar atualizações de firmware e assim por diante. Às vezes, isso também é chamado de gerenciamento de luzes apagadas.
Pesquisadores de segurança alertaram sobre problemas de segurança nas implementações do BMC e na especificação Intelligent Platform Management Interface (IPMI) que usaram por pelo menos uma década. As vulnerabilidades incluíam credenciais e usuários codificados, configurações incorretas, criptografia fraca ou ausente, bem como bugs de código, como buffer overflows. Embora essas interfaces de gerenciamento devam operar em segmentos de rede isolados, centenas de milhares de pessoas foram encontradas expostas à Internet ao longo dos anos.
No ano passado, os pesquisadores encontraram um implante malicioso chamado iLOBleed que provavelmente foi desenvolvido por um grupo APT e estava sendo implantado em servidores Hewlett Packard Enterprise (HPE) Gen8 e Gen9 por meio de vulnerabilidades no BMC HPE iLO (HPE's Integrated Lights-Out) que eram conhecidas desde então. 2018.
Em 2018, os invasores implantaram um programa de ransomware chamado JungleSec em servidores Linux, aproveitando-se de interfaces IPMI inseguras que usavam credenciais de administrador padrão. Em 2016, a Microsoft relatou que um grupo APT apelidado de PLATINUM explorou o recurso Serial-over-LAN (SOL) da Intel Active Management Technology (AMT) para configurar um canal de comunicação secreto para transferir arquivos. AMT é um componente do Management Engine da Intel (Intel ME), uma solução semelhante ao BMC que existe na maioria das CPUs de desktops e servidores Intel.
Os pesquisadores do Eclypsium encontraram e divulgaram duas novas vulnerabilidades no MegaRAC, uma implementação de firmware BMC desenvolvida pela American Megatrends (AMI), o maior fornecedor mundial de firmware BIOS/UEFI e BMC. Os fabricantes de servidores que usaram AMI MegaRAC em alguns de seus produtos ao longo do tempo incluem produtos como AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, NVidia, Qualcomm, Quanta e Tian.
Esta não é a primeira vez que o Eclypsium encontrou vulnerabilidades no BMC. Em dezembro de 2022, a empresa divulgou cinco outras vulnerabilidades identificadas no AMI MegaRAC, algumas das quais permitiam a execução arbitrária de código por meio da API Redfish ou forneciam acesso SSH a contas privilegiadas devido a senhas codificadas.
As duas novas vulnerabilidades também estão localizadas na interface de gerenciamento do Redfish. Redfish é uma interface padronizada para gerenciamento fora de banda que foi desenvolvida para substituir o antigo IPMI.