15 büyük satıcının sunucularında kullanılan temel kart yönetim denetleyicisi (BMC) ürün yazılımındaki beş güvenlik açığı, saldırganlara veri merkezlerinde ve bulut hizmetlerinde yaygın olarak kullanılan sistemleri uzaktan tehlikeye atma yeteneği verebilir.
İkisi bu hafta donanım güvenlik firması Eclypsium tarafından açıklanan güvenlik açıkları, uzaktan yönetim için AMI’nin MegaRAC Baseboard Management Controller (BMC) yazılımını kullanan çip üzerinde sistem (SoC) bilgi işlem platformlarında ortaya çıkıyor. Açıklar, aralarında AMD, Asus, ARM, Dell, EMC, Hewlett-Packard Enterprise, Huawei, Lenovo ve Nvidia’nın da bulunduğu en az 15 satıcı tarafından üretilen sunucuları etkileyebilir.
Eclypsium, Aralık ayında güvenlik açıklarından üçünü açıkladı, ancak AMI’ye sorunları hafifletmesi için daha fazla zaman tanımak için bu haftaya kadar iki ek kusurla ilgili bilgileri sakladı.
Eclypsium’da tehdit araştırma ve istihbarat müdürü Nate Warfield, güvenlik açıklarından yalnızca sunucular doğrudan İnternet’e bağlıysa yararlanılabileceğinden, güvenlik açıklarının boyutunu ölçmenin zor olduğunu söylüyor.
“Bunun patlama yarıçapının ne olduğunu gerçekten bilmiyoruz, çünkü bazı platformları bilmemize rağmen, hiçbir ayrıntıya sahip değiliz. [how] Bunlar üretken şeyler” diyor. “Biliyor musun, bunlardan 100.000 tane sattılar mı? 10 milyonu sattılar mı? Sadece bilmiyoruz.”
Temel kart yönetim denetleyicileri, yöneticilerin sunucuları neredeyse tamamen kontrolle uzaktan yönetmesine olanak sağlamak için bir ana kart üzerine kurulu tek bir yonga veya yonga üzerinde sistemdir (SoC). AMI’nin MegaRAC’ı, erişilebilir bir ana kart yönetim denetleyicisi sabit yazılımı geliştirmek ve sürdürmek için açık kaynaklı bir proje olan Open BMC sabit yazılım projesine dayalı bir yazılım koleksiyonudur.
Birçok sunucu üreticisi, yöneticilerin düşük bir seviyede sunucu donanımının tam kontrolünü ele geçirmesine izin vermek için BMC yazılımına güvenir ve sunucuya “ışık kapatma” özelliklerine erişim sağlar, Eclypsium danışma belirtti. Yazılım yaygın olarak kullanıldığından, savunmasız özelliklerin kapladığı alan oldukça büyüktür.
“[V]Bir bileşen tedarikçisindeki güvenlik açıkları, birçok donanım satıcısını etkiler ve bu da birçok bulut hizmetine geçebilir.” kullandıkları bulut hizmetlerini destekleyen donanım.”
AMI, kodlarında güvenlik açıkları bulunan en son ana kart yönetim denetleyicisi (BMC) yazılım üreticisidir. 2022’de Eclypsium, bulut firmaları tarafından ortak kullanım bulan Quanta Cloud Technology (QCT) sunucularında da güvenlik açıkları buldu. Ve şirket tarafından 2020’de yapılan önceki araştırma, dizüstü bilgisayarlarda ve sunucularda imzalanmış ürün yazılımı bulunmamasının, bir saldırganın cihazları uzaktan kontrol etmek için bir Truva atı kurmasına izin verebileceğini buldu.
En Ciddi Aralık Kusurları
30 Ocak’ta yayınlanan en son iki kusur, iki düşük önem dereceli sorunu içeriyor. İlk güvenlik açığı (CVE-2022-26872), saldırgana, saldırıyı tek seferlik bir parolanın doğrulanması ile yeni parolanın kullanıcı tarafından gönderilmesi arasındaki dar bir zaman aralığında zamanlayabilirse, parolayı sıfırlama yeteneği verir. İkinci güvenlik sayısında (CVE-2022-40258), Eclypsium, şifre dosyasının zayıf bir algoritma ile karma hale getirildiğini belirtti.
Her iki sorun da Aralık ayında açıklanan ve BMC’nin API’sindeki tehlikeli bir komut olan iki güvenlik açığını içeren üç güvenlik açığından daha az ciddi.CVE-2022-40259) ve bir varsayılan kimlik bilgisi (CVE-2022-40242) — Eclypsium danışma belgesinde basit uzaktan kod yürütülmesine izin verebilir. Diğer güvenlik açığı (CVE-2022-2827), bir saldırganın kullanıcı adlarını API aracılığıyla uzaktan numaralandırmasına olanak tanır.
Eclypsium’a göre Redfish API, modern veri merkezlerinde Akıllı Platform Yönetim Arayüzünün (IPMI) önceki sürümlerinin yerini büyük sunucu satıcılarının ve Open BMC projesinin desteğiyle alıyor.
Eclypsium, AMI yazılımının analizini, kod bir fidye yazılımı grubu tarafından internete sızdırıldıktan sonra gerçekleştirdi. Sızan yazılım kodunun kaynağının AMI olduğu düşünülmüyor; Warfield, bunun yerine kodun üçüncü taraf bir satıcının fidye yazılımı tarafından vurulmasının bir sonucu olduğunu söylüyor.
“Yaz aylarında keşfettiğimiz şey, birinin bir grup teknoloji şirketinin fikri mülkiyetini internete sızdırdığıydı” diyor. “Ve, onu araştırırken … ne olduğunu ve kimin elinde olduğunu anlamaya çalışırken, AMI’nin bazı fikri mülkiyet haklarına rastladık. Bu yüzden, ne bulabileceğimizi görmek için onu biraz araştırmaya başladık.”
Yama Hızı Bilinmiyor
AMI, beş güvenlik açığı için yamalanmış yazılım yayınladı ve artık güvenlik açıklarının hafifletilmesi sunucu üreticilerinin ve onların müşterilerinin elinde.
HPE, Intel ve Lenovo gibi birçok tedarikçi firma, şimdiden müşterilerine tavsiyeler yayınladı. Ancak, bu sunuculara yama uygulamak, veri merkezlerinde dağıtılan sunuculara sahip olan şirketlere bağlı olacaktır.
Warfield, bellenim düzeltme ekinin donma hızında olma eğiliminde olduğunu ve bunun endişe verici olması gerektiğini söylüyor.
“Zor kısım, yamaların çıkması ile insanların onları gerçekten uygulaması arasındaki zamandır” diyor. “BMC, ‘Ah, etkilenen 100.000 sunucum var. Bunu hepsine ileteyim’ diyebileceğiniz bir tür Windows güncelleme mekanizmasına sahip bir şey değil.”