Aufgrund neuer Schwachstellen ist es an der Zeit, die BMC-Schnittstellen der Server zu überprüfen

Zwei kürzlich entdeckte Schwachstellen in weit verbreiteten Baseboard-Management-Controllern könnten entfernten und lokalen Bedrohungsakteuren die vollständige Kontrolle über Server ermöglichen.

Die Häufigkeit und Schwere von Sicherheitsproblemen, die im Laufe der Jahre in der Firmware von Baseboard Management Controllern (BMCs) auf Server-Motherboards festgestellt wurden, verdeutlicht einen oft übersehenen, aber kritischen Bereich der IT-Infrastruktursicherheit. Die neueste Ergänzung der wachsenden Liste von Schwachstellen sind zwei Schwachstellen in einer weit verbreiteten „Lights-Out“-Verwaltungsschnittstelle, die von verschiedenen Serverherstellern verwendet wird. Wenn sie gemeinsam ausgenutzt werden, könnten sie entfernten und lokalen Angreifern die vollständige Kontrolle über betroffene Server auf einer niedrigen und schwer zu erkennenden Ebene ermöglichen.

„Zu den Auswirkungen der Ausnutzung dieser Schwachstellen gehören die Fernsteuerung kompromittierter Server, die Fernbereitstellung von Malware, das Einschleusen oder Blockieren von Motherboard-Komponenten durch Ransomware und Firmware (BMC oder möglicherweise BIOS/UEFI), potenzielle physische Schäden an Servern (Überspannung/Firmware-Bricking), und unbestimmte Neustartschleifen, die eine Opferorganisation nicht unterbrechen kann“, sagten Forscher des Firmware-Sicherheitsunternehmens Eclypsium kürzlich in einem Bericht. „Das Licht geht tatsächlich aus.“

BMCs sind spezialisierte Mikrocontroller mit eigener Firmware und eigenem Betriebssystem sowie dediziertem Speicher, Stromversorgung und Netzwerkanschlüssen. Sie werden für die Out-of-Band-Verwaltung von Servern verwendet, wenn deren primäre Betriebssysteme heruntergefahren sind. Bei BMCs handelt es sich im Wesentlichen um kleinere Computer, die innerhalb von Servern laufen und es Administratoren ermöglichen, Wartungsaufgaben aus der Ferne durchzuführen, z. B. die Neuinstallation von Betriebssystemen, den Neustart von Servern, wenn diese nicht mehr reagieren, die Bereitstellung von Firmware-Updates usw. Dies wird manchmal auch als Lights-Out-Management bezeichnet.

Sicherheitsforscher haben vor Sicherheitsproblemen bei BMC-Implementierungen und der IPMI-Spezifikation (Intelligent Platform Management Interface) gewarnt, die sie seit mindestens einem Jahrzehnt verwenden. Zu den Sicherheitslücken gehörten fest codierte Anmeldeinformationen und Benutzer, Fehlkonfigurationen, schwache oder fehlende Verschlüsselung sowie Codefehler wie Pufferüberläufe. Auch wenn diese Verwaltungsschnittstellen auf isolierten Netzwerksegmenten funktionieren sollten, wurden im Laufe der Jahre Hunderttausende von ihnen dem Internet ausgesetzt.

Letztes Jahr fanden Forscher ein bösartiges Implantat namens iLOBleed, das wahrscheinlich von einer APT-Gruppe entwickelt wurde und auf Gen8- und Gen9-Servern von Hewlett Packard Enterprise (HPE) eingesetzt wurde, und zwar aufgrund seitdem bekannter Schwachstellen im HPE iLO (Integrated Lights-Out) BMC von HPE 2018.

Berichten zufolge haben Angreifer im Jahr 2018 ein Ransomware-Programm namens JungleSec auf Linux-Servern eingesetzt, indem sie unsichere IPMI-Schnittstellen ausgenutzt haben, die standardmäßige Administratoranmeldeinformationen verwendeten. Im Jahr 2016 berichtete Microsoft, dass eine APT-Gruppe namens PLATINUM die Serial-over-LAN (SOL)-Funktion der Active Management Technology (AMT) von Intel ausnutzte, um einen verdeckten Kommunikationskanal für die Übertragung von Dateien einzurichten. AMT ist eine Komponente der Intel Management Engine (Intel ME), einer BMC-ähnlichen Lösung, die in den meisten Intel-Desktop- und Server-CPUs vorhanden ist.

Eclypsium-Forscher haben zwei neue Schwachstellen in MegaRAC entdeckt und offengelegt, einer BMC-Firmware-Implementierung, die von American Megatrends (AMI), dem weltweit größten Anbieter von BIOS/UEFI- und BMC-Firmware, entwickelt wurde. Zu den Serverherstellern, die AMI MegaRAC im Laufe der Zeit in einigen ihrer Produkte verwendeten, gehören Produkte wie AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, NVidia, Qualcomm, Quanta und Tyan.

Dies ist nicht das erste Mal, dass Eclypsium BMC-Schwachstellen entdeckt. Im Dezember 2022 enthüllte das Unternehmen fünf weitere Schwachstellen, die es in AMI MegaRAC identifizierte, von denen einige die Ausführung willkürlichen Codes über die Redfish-API ermöglichten oder aufgrund fest codierter Passwörter SSH-Zugriff auf privilegierte Konten ermöglichten.

Die beiden neuen Schwachstellen befinden sich auch in der Redfish-Verwaltungsoberfläche. Redfish ist eine standardisierte Schnittstelle für Out-of-Band-Management, die als Ersatz für das ältere IPMI entwickelt wurde.

Einer der Fehler, der als CVE-2023-34329 verfolgt wird, ermöglicht es Angreifern, die Authentifizierung zu umgehen, indem sie die HTTP-Anforderungsheader fälschen. Die Redfish-Implementierung von MegaRAC ermöglicht zwei Authentifizierungsmodi: Basic Auth, das im BIOS benannt werden muss, und No Auth, das den Zugriff ohne Authentifizierung ermöglichen soll, wenn die Anfragen von der internen IP-Adresse oder der USB0-Netzwerkschnittstelle kommen.

Die Forscher fanden heraus, dass es möglich ist, die HTTP-Anforderungsheader zu fälschen, um dem BMC vorzutäuschen, dass die externe Kommunikation von der internen USB0-Schnittstelle kommt. Wenn No Auth standardmäßig aktiviert ist, haben Angreifer dadurch die Möglichkeit, privilegierte Verwaltungsaktionen über die Redfish-API durchzuführen, einschließlich der Erstellung neuer Benutzer.

Diese Schwachstelle wird mit einem CVSS-Score von 9,1 als kritisch eingestuft und ist für sich genommen schwerwiegend. In Kombination mit dem zweiten Fehler, CVE-2023-34330, ist es sogar noch gefährlicher. Das liegt daran, dass die Schwachstelle CVE-2023-34330 auf eine Funktion zurückzuführen ist, die standardmäßig für Anfragen von der Host-Schnittstelle aktiviert ist: die Möglichkeit, POST-Anfragen zu senden, die tatsächlichen Code enthalten, der auf dem BMC-Chip mit Root-Rechten ausgeführt werden soll.

„Wenn diese beiden Schwachstellen miteinander verkettet sind, kann selbst ein Remote-Angreifer mit Netzwerkzugriff auf die BMC-Verwaltungsschnittstelle und ohne BMC-Anmeldeinformationen eine Remotecodeausführung erreichen, indem er BMC dazu verleitet, zu glauben, dass die http-Anfrage von der internen Schnittstelle kommt“, erklärten die Forscher . „Dadurch kann der Angreifer aus der Ferne beliebigen Code hochladen und ausführen, möglicherweise aus dem Internet, wenn die Schnittstelle ihm ausgesetzt ist.“

Aufgrund der Macht, die BMCs über das Hostsystem haben, sind die potenziellen Angriffsszenarien umfangreich. Beispielsweise könnten Angreifer in einem Erpressungsszenario die BMC-Funktionalität ausnutzen, die das System alle paar Sekunden in einer Schleife herunterfährt, sowie den administrativen Zugriff auf den BMC blockieren und Administratoren so einen Systemstatus hinterlassen, aus dem eine Wiederherstellung nur sehr schwer möglich wäre wenn man bedenkt, dass der BMC automatisch startet, wenn das System mit Strom versorgt wird. Angreifer könnten denselben Neustartbefehl an alle BMCs im selben Verwaltungsnetzwerk senden oder Implantate auf allen installieren.

Angreifer könnten ein Implantat auch für langfristige Spionage einsetzen, da BMCs eine Fernsteuerung über das Host-Betriebssystem ermöglichen und sogar Tastaturereignisse an das Betriebssystem senden können, als ob sie physisch an der Maschine wären. Solche Aktionen könnten von Endpoint-Schutzlösungen weder erkannt noch blockiert werden. BMCs können auch UEFI/BIOS-Updates durchführen, sodass Angreifer ein betrügerisches Update versenden könnten, das UEFI-Einstellungen oder -Konfigurationen ändert.

Eine seitliche Verschiebung zu anderen Servern über andere BMCs ist ebenso möglich wie der Zugriff auf Active Directory-Anmeldeinformationen. Der Zugriff kann auch genutzt werden, um Gastbetriebssystem-Images in einer virtualisierten Cloud-Umgebung zu kompromittieren.

Organisationen sollten sicherstellen, dass sich alle Remote-Server-Verwaltungsschnittstellen (z. B. Redfish, IPMI) und BMC-Subsysteme in dedizierten Verwaltungsnetzwerken befinden und der Zugriff auf administrative Benutzer beschränkt ist, die Prinzipien der Zero-Trust-Architektur anwenden. Auch die Herstellerdokumentation zur BMC-Härtung sollte überprüft werden und alle unsicheren Standardkonfigurationen oder integrierten und fest codierten Administratorkonten sollten deaktiviert werden. Die Firmware sollte immer auf dem neuesten Stand gehalten und auf unbefugte Änderungen überwacht werden.

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat Leitlinien zur Härtung von Baseboard Management Controllern sowie anderen Arten von Verwaltungsschnittstellen im Allgemeinen veröffentlicht.