数百万台计算机中的固件漏洞可能使黑客获得超级用户身份

两年前，勒索软件骗子入侵了硬件制造商 Gigabyte，并泄露了超过 112 GB 的数据，其中包括来自英特尔和 AMD 等一些最重要的供应链合作伙伴的信息。

现在，研究人员警告称，泄露的信息揭示了可能构成严重零日漏洞的漏洞，可能危及计算世界的大片地区。

这些漏洞存在于位于佐治亚州德卢斯的 AMI 为 BMC（基板管理控制器）制作的固件内。

这些焊接到服务器主板上的微型计算机允许云中心（有时还包括其客户）简化大量计算机的远程管理。它们使管理员能够远程重新安装操作系统、安装和卸载应用程序以及控制系统的几乎所有其他方面 - 即使系统已关闭。

BMC 提供业界所谓的“无人值守”系统管理。

安全公司 Eclypsium 的研究人员分析了2021 年勒索软件攻击中泄露的 AMI 固件，并发现了潜伏多年的漏洞。任何能够访问行业标准远程管理界面（称为 Redfish）的本地或远程攻击者都可以利用它们来执行在数据中心内的每台服务器上运行的恶意代码。

在使用 4 月份分发给客户的更新 AMI 修补这些漏洞之前，它们为恶意黑客（无论是出于经济动机还是国家资助）提供了一种在世界上一些最敏感的云环境中获得超级用户身份的手段。

从那里，攻击者可以安装勒索软件和间谍恶意软件，这些恶意软件在受感染计算机内的某些最低级别上运行。

成功的攻击者还可能对服务器造成物理损坏或受害组织无法中断的无限期重启循环。Eclypsium 警告称，此类事件可能会导致“永远熄灯”的情况。

在周四发表的一篇文章中，Eclypsium 研究人员写道：

这些漏洞的严重程度从“高”到“严重”不等，包括未经身份验证的远程代码执行和具有超级用户权限的未经授权的设备访问。它们可能被有权访问Redfish远程管理界面或受感染主机操作系统的远程攻击者利用。

Redfish 是传统 IPMI 的继承者，提供了用于管理服务器基础设施和支持现代数据中心的其他基础设施的 API 标准。Redfish 受到几乎所有主要服务器和基础设施供应商以及现代超大规模环境中经常使用的 OpenBMC 固件项目的支持。

这些漏洞对云计算基础的技术供应链构成了重大风险。简而言之，组件供应商的漏洞会影响许多硬件供应商，进而可能传递到许多云服务。

因此，这些漏洞可能会对组织直接拥有的服务器和硬件以及支持其使用的云服务的硬件构成风险。它们还可能影响组织的上游供应商，应与主要的第三方进行讨论，作为一般供应链风险管理尽职调查的一部分。

BMC 旨在为管理员提供对其管理的服务器近乎完全的远程控制。AMI 是向众多硬件供应商和云服务提供商提供 BMC 和 BMC 固件的领先提供商。因此，这些漏洞会影响大量设备，并且可能使攻击者不仅能够控制设备，而且还会对数据中心和云服务基础设施造成损害。

相同的逻辑缺陷可能会影响同一服务提供商不同地理区域的后备数据中心中的设备，并且可能会挑战云提供商（及其客户）在风险管理和运营连续性方面经常做出的假设。

研究人员接着指出，如果他们能够在分析公开的源代码后找到漏洞并编写漏洞利用程序，那么就没有什么可以阻止恶意行为者做同样的事情。

即使无法访问源代码，仍然可以通过反编译 BMC 固件映像来识别漏洞。没有迹象表明恶意方已经这样做了，但也没有办法知道他们没有这样做。

研究人员私下向 AMI 通报了这些漏洞，该公司创建了固件补丁，客户可以通过受限支持页面获取这些补丁。AMI 还在此发布了一份公告。

漏洞是：

• CVE-2023-34329，通过 HTTP 标头的身份验证绕过，其严重性评级为 9.9（满分 10）

• CVE-2023-34330，通过动态 Redfish 扩展进行代码注入。其严重程度为 8.2

存在多种利用后场景，具体取决于易受攻击的环境内的特定配置以及利用漏洞的各方使用的方法。当攻击者将这两个漏洞结合起来时，就会出现最可怕的结果。

当这两个漏洞链接在一起时，即使是能够通过网络访问 BMC 管理界面且没有 BMC 凭据的远程攻击者，也可以通过欺骗 BMC 相信 http 请求来自内部接口来实现远程代码执行。因此，如果接口暴露，攻击者可以远程上传并执行任意代码（可能来自互联网）。

Redfish 接口允许两种身份验证选项：“基本身份验证”（使用某些 BIOS 固件支持的机制）和“无身份验证”（仅验证通信是否来自 USBO 网络地址，也称为内部主机接口）。攻击者可以利用 CVE-2023 来执行恶意代码。

通过欺骗某些 HTTP 标头，攻击者可以欺骗 BMC，使其相信外部通信来自 USB0 内部接口。当这与配置了“无身份验证”选项的系统结合使用时，攻击者可以绕过身份验证并执行 Redfish API 操作。

一个示例是创建一个冒充合法管理员并拥有所有系统权限的帐户。

同时，可以在没有身份验证设置的系统上利用 CVE-2023-34330 来有效执行他们选择的代码。如果未启用 no auth 选项，攻击者首先必须拥有 BMC 凭据。这是一个更高的标准，但对于经验丰富的演员来说绝不是遥不可及。

获得服务器 BMC 访问权限的攻击者以及初次访问数据中心或管理员网络的攻击者都可以利用这些漏洞。如果系统配置错误以允许直接访问，则也可以通过互联网利用该漏洞。另一种可能性是在破坏服务器操作系统后利用这些漏洞。

AMI 更新为客户提供了安全公司 Nozomi Labs 提供的其他五个漏洞的补丁。

runZero 的首席技术官兼联合创始人 HD Moore 是一位拥有通过 BMC 侵入数据中心经验的研究人员，他表示安装更新至关重要。

Eclypsium 识别的攻击链允许远程攻击者完全且可能永久地破坏易受攻击的 MegaRAC BMC，这种攻击是 100% 可靠的，而且事后很难检测到。

如果环境具有以下任一条件，则更新易受攻击的 AMI 固件不会特别繁重：

1) 配置支持 BMC 的以太网，用于带外管理以使用专用网络，这对于许多云/托管提供商来说很常见）。BMC接口，包括Redfish和IPMI，允许远程升级。

2) 建立自动化流程，通过服务器操作系统本身推送补丁/升级。

依赖 AMI 支持的 BMC 来管理服务器的组织应尽快安装更新。这些组织还应熟悉网络安全和基础设施安全局发布的操作指令 23-02。

该指令对所有美国联邦政府机构均具有约束力，并应被所有其他组织视为最佳实践。

原文来源：网络研究院