Hiper ölçekli veri merkezi operasyonlarını ve bulut sağlayıcı altyapısını güçlendiren birkaç popüler Quanta Bulut Teknolojisi (QCT) sunucu modeli, onları sunucu üzerinde tam kontrol altına alan ve sunucu üzerinde çok sayıda sunucuya yayılabilen saldırı riskine sokan kritik bir ürün yazılımı güvenlik açığına karşı savunmasızdır. aynı ağ.
QCT modelleri, yeni araştırmaya göre, modern sunucularda kullanılan bir dizi üretici yazılımı yığınında temel kart yönetim denetleyicisi (BMC) teknolojisini etkileyen 2019’da keşfedilen bir kusur olan “Pantsdown” güvenlik açığına (CVE-2019-6260) karşı savunmasızdır. Eclypsium tarafından bugün yayınlandı.
BMC’ler, kendi güçlerini, donanım yazılımlarını, belleklerini ve ağ yığınlarını içeren sunucuların içine yerleştirilmiş mini bilgisayarlardır. Düşük seviyeli donanım ayarlarını yönetmek, ana bilgisayar işletim sistemlerini güncellemek ve sanal ana bilgisayarları, uygulamaları veya sistemdeki verileri yönetmek için uzaktan yöneticilere sunucu üzerinde kontrol sağlamak için oradalar. Genellikle sunucular, aynı parolayı paylaşan Akıllı Platform Yönetim Arayüzü (IPMI) kontrollü grupların kullanımı yoluyla BMC’ler aracılığıyla yönetilir, bu da bir BMC’yi tehlikeye attıklarında sistemler arasında geçiş yapmayı önemsiz hale getirir. Bu tür bir konsantre ayrıcalık, BMC’leri, bunun gibi kusurlar ortaya çıktığında saldırganlar için son derece cazip hedefler haline getirir.
Kötü adamlar için bu çekicilik, Eclypsium’un bulunduğu Ocak ayında tam ekrandaydı. iLOBleed saldırıları yoluyla vahşi doğada BMC implantlarını kullanan tehdit aktörleri binlerce HPE sunucusunu başarıyla hedefledi. Bu durumda, saldırganlar BMC güncellemelerini engellemek ve güncelleme başarısını yöneticilere tahrif etmek için adımlar bile attılar.
Bu, güvenlik araştırmacılarının on yılın daha iyi bir bölümünde uyarıda bulunduğu bir sorun – örneğin, 2013’te Metasploit yaratıcısı HD Moore, çevrimiçi çalışan yüz binlerce sunucunun BMC kusurlarına karşı savunmasız olduğunu gösteren bazı önemli araştırmalarla onlara dikkat çekiyordu. .
Bu en son araştırma ve kavram kanıtlamasında QCT sunucularında bulunan Pantsdown kusurunun CVSS puanı 9.8’dir ve geçmişte vahşi doğada dolaşan çok sayıda istismar tarafından hedef alınmaktadır.
Eclypsium araştırmacıları, “Bu güvenlik açığı, bir saldırgana fidye yazılımı yayma, gizlice veri çalma veya BMC’yi veya sunucunun kendisini devre dışı bırakma yeteneği de dahil olmak üzere sunucu üzerinde tam kontrol sağlayabilir.” Dedi. rapor hakkında bir blog yazısı. “Ayrıca, saldırganlar BMC’de kod yürütme elde ederek BMC kimlik bilgilerini çalabilir ve bu da saldırının aynı IPMI grubundaki diğer sunuculara yayılmasına izin verebilir.”
Araştırmacılar, testlerini gerçekleştirdiklerini ve QCT’nin indirme sitesinde herkese açık olarak erişilebilen en güncel ürün yazılımı paketiyle yeniledikten sonra QCT sunucularına karşı kavram kanıtını geliştirdiklerini söylediler.
“İncelemede, sunucunun bir Aspeed 2500 BMC (AST2500(A2)) içerdiğini ve Pantsdown’a karşı savunmasız olan AMI tabanlı BMC yazılımının bir sürümünü çalıştırdığını gördük” dediler ve açığı Ekim 2021’de Quanta’ya açıkladıklarını açıkladılar. “Yazma sırasında, QCT bize güvenlik açığını giderdiklerini ve yeni bellenimin müşterilerine özel olarak sunulduğunu, ancak halka açık hale getirilmeyeceğini bildirdi.”
BMC Ürün Yazılımını İzleyin
Eclypsium araştırmacılarının geliştirdiği kavram kanıtı saldırısı, BMC’de bellekte çalışırken Web sunucusu kodunu yamalamalarını ve bir kullanıcı bir web sayfasını yenilediğinde veya sunucuya bağlandığında ters bir kabuğu tetiklemek için kötü amaçlı kodla değiştirmelerini sağladı. Bu özel kavram kanıtının, bir saldırganın fiziksel sunucuda kök erişimine sahip olmasını gerektirdiğini, ancak kullanıcılar bir sunucunun tam bir örneğini kiraladığında bu izinlerin rutin olarak varsayılan olarak sağlandığını belirttiler.
Araştırma ekibi, “Ayrıca, bir saldırgan, web’e yönelik bir uygulamadan yararlanarak ve ayrıcalıkları artırarak veya yalnızca zaten kök ayrıcalıklarıyla çalışan herhangi bir hizmetten yararlanarak kök erişimi elde edebilir” diye ekledi.
Bu özel araştırma parçasının, kuruluşların BMC donanım yazılımının bütünlüğünü düzenli olarak doğrulama ihtiyacını daha da vurguladığını söylüyorlar.