Eclypsium’dan siber güvenlik araştırmacıları, AMI MegaRAC Baseboard Management Controller (BMC) yazılımında iki kritik güvenlik açığı keşfetti.
Yazılım, BT ekiplerine bulut merkezi sunucularına tam erişim sağlayarak işletim sistemlerini yeniden yüklemelerine, uygulamaları yönetmelerine ve kapatılsalar bile uç noktaları yönetmelerine olanak sağlamak için tasarlanmıştır. Endüstri argosunda, yazılım “bant dışı” ve “ışıklar kapalı” uzaktan sistem yönetimine izin verir.
İki kusur, 9,9 önem puanıyla CVE-2023-34329 (HTTP üstbilgisi sahtekarlığı yoluyla kimlik doğrulama atlaması) ve 8,2 önem puanıyla CVE-2023-34330 (Dinamik Redfish Uzantısı arabirimi aracılığıyla kod enjeksiyonu) olarak izlenir. Tehdit aktörleri, bu güvenlik açıklarını zincirleyerek Redfish uzaktan yönetim arayüzünü kullanabilir ve savunmasız sunucularda uzaktan kod yürütme yetenekleri elde edebilir. Aracın popülaritesi göz önüne alındığında bu, milyonlarca sunucu anlamına gelebilir çünkü güvenlik açığı bulunan ürün yazılımı, yüksek profilli bulut hizmeti ve veri merkezi sağlayıcılarına hizmet veren dünyanın en büyük sunucu üreticilerinden bazıları tarafından kullanılır: AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, HPE, Huawei ve daha fazlası.
Araştırmacılar, tehdit aktörlerinin hassas verilere erişebileceği, fidye yazılımları, truva atları yükleyebileceği ve hatta sunucuları durdurulamaz, bitmeyen bir yeniden başlatma döngüsüne sokarak bloke edebileceği için yıkıcı potansiyelin oldukça geniş olduğunu söyledi.
Araştırmacılar yazılarında, “Böyle bir implantın tespit edilmesinin son derece zor olabileceğini ve herhangi bir saldırgan için tek satırlık bir istismar biçiminde yeniden oluşturulmasının son derece kolay olduğunu da vurgulamamız gerekiyor.”
O zamandan beri, potansiyel tehlikeye karşı korunmanın en iyi yolu olduğu için müşterilerine hemen uygulamalarını tavsiye eden AMI tarafından bir yama kullanıma sunuldu.
Analiz: Neden önemli?
Kusurlar, muazzam yıkıcı potansiyelleri nedeniyle önemlidir. Bunlar bir donanım bileşenleri tedarikçisinde bulunduğundan, sayısız kuruluşu etkileyerek birçok bulut hizmeti sağlayıcısına kadar inebilir. Bu ikisi gibi güvenlik açıkları, tedarik zinciri saldırılarının ana damarını vurmaya eşittir.
Her şey yaklaşık iki yıl önce, RansomEXX adlı bir tehdit aktörünün bilgisayar donanımı devi GIGABYTE’a ait uç noktaları ele geçirmesiyle başladı. Dolandırıcılar, Intel, AMD ve diğerlerinin yanı sıra AMI’ye ait bilgiler de dahil olmak üzere 100 gigabayttan fazla hassas veri çaldı. Veriler daha sonra karanlık ağa sızdırıldı ve burada Eclypsium’dan siber güvenlik araştırmacıları (ve diğerleri ve muhtemelen birçok kötü niyetli aktör) tarafından toplandı.
Araştırmacılar, yıllardır veriler arasında gizlenen iki sıfır günü ortaya çıkardı. Uzaktan kod yürütme yetenekleri kazanmak için Redfish uzaktan yönetim arayüzünün kullanılmasını içerir. Ars Technica, Redfish’in geleneksel IPMI sağlayıcılarının halefi olduğunu ve günümüzün veri merkezleri için ihtiyaç duyulan sunucu altyapısını ve diğer altyapıyı yönetmek için bir API standardı sunduğunu açıklıyor. Pratik olarak tüm sunucu ve altyapı satıcıları ve OpenBMC ürün yazılımı projesi tarafından desteklenir.
Kusurlar BMC’lerde bulunur – Baseboard Management Controller yazılımı. Bunlar, yöneticilere yönettikleri sunucular üzerinden “tanrı modu” statüsü verir. Ars Technica’ya göre AMI, BMC’lerin ve BMC ürün yazılımının lider sağlayıcısıdır ve en büyük hane isimleri dahil olmak üzere çok çeşitli donanım satıcılarına ve bulut hizmeti sağlayıcılarına hizmet verir.
Araştırmacılar ayrıca, halka açık kaynak kodunu analiz ettikten sonra güvenlik açıklarını bulabildiklerini ve kötü amaçlı yazılım yazabildiklerini de sözlerine eklediler ve herhangi bir kötü niyetli aktörün de aynısını yapabileceğini belirttiler. Kaynak koduna erişimleri olmasa bile, MBC üretici yazılımı görüntülerini kaynak koda dönüştürerek kusurları belirleyebilirler. İyi haber şu ki, kimsenin bunu yaptığına dair hala bir kanıt yok.
Başkaları kusurlar hakkında ne dedi?
runZero’nun CTO’su ve kurucu ortağı HD Moore için, potansiyel olarak etkilenen müşterilerin sistemlerine derhal yama uygulaması çok önemli: “Eclypsium tarafından tanımlanan saldırı zinciri, uzaktaki bir saldırganın savunmasız MegaRAC BMC’lerini tamamen ve muhtemelen kalıcı olarak tehlikeye atmasına olanak tanıyor” dedi. “Bu saldırı %100 güvenilir olacak ve olaydan sonra tespit edilmesi zor olacak.”
Ortamlar yama uygulamalarını otomatikleştirdiyse veya bant dışı yönetim için kullanılan BMC özellikli ethernet’leri özel bir ağ kullanacak şekilde yapılandırdıysa, kusurlu AMI aygıt yazılımının güncellenmesinin çok zahmetli olmaması gerektiğini ekledi.
Twitter kullanıcıları haberlerde genellikle sessiz kalırken, ICS ve ICS güvenliğiyle ilgili tweet’ler atan Secure ICS OT adlı bir kullanıcı, “Şirket içi izole ağda gülüyor” yorumunda bulunarak, güvende kalmanın en iyi yolunun bu olduğunu öne sürdü. Reddit’te kullanıcılar daha konuşkandı ve bir kullanıcı bulguların önemini küçümsedi: “Bu göründüğü kadar kötü değil. BMC’leri kaç yerde ağa açık? Erişimleri varsa, zaten ağınızdadırlar ve daha büyük sorunlarınız var” dediler.
Başka bir kullanıcı, “Çoğu veri merkezinin bir yönetim VLAN’ında BMC’ler, iDRAC’ler, yaşam döngüsü denetleyicileri vb. olduğunu, dolayısıyla bir düzeyde korumaya sahip olduklarını varsayıyorum” diye ekledi. “Öte yandan, 192.168.1.x üzerinde bir Dell T450 çalıştıran 1,8 milyar küçük işletme var.”
Daha derine git
Kusurlar hakkında daha fazla bilgi edinmek istiyorsanız, orijinal makalemizi okuduğunuzdan emin olun. GIGABYTE veri ihlaliyanı sıra her şey hakkında açıklayıcımız fidye yazılımı. O zaman ayrıntılı kılavuzumuzu okuduğunuzdan emin olun. en iyi fidye yazılımı korumasıVe en iyi güvenlik duvarları.