Nuevas vulnerabilidades significan que es hora de revisar las interfaces BMC del servidor

Dos vulnerabilidades descubiertas recientemente en controladores de administración de placa base ampliamente utilizados podrían brindar a los actores de amenazas locales y remotos un control total sobre los servidores.

La frecuencia y gravedad de los problemas de seguridad encontrados a lo largo de los años en el firmware de los controladores de administración de placa base (BMC) presentes en las placas base de los servidores resaltan un área crítica, aunque a menudo pasada por alto, de la seguridad de la infraestructura de TI. La última incorporación a la creciente lista de fallas son dos vulnerabilidades en una interfaz de administración "apagada" ampliamente utilizada por diferentes fabricantes de servidores. Cuando se explotan juntos, podrían proporcionar a los atacantes locales y remotos control total sobre los servidores afectados a un nivel bajo y difícil de detectar.

“El impacto de explotar estas vulnerabilidades incluye control remoto de servidores comprometidos, implementación remota de malware, ransomware y firmware que implanta o bloquea componentes de la placa base (BMC o potencialmente BIOS/UEFI), posibles daños físicos a los servidores (sobretensión/bloqueo de firmware), y bucles de reinicio indefinidos que una organización víctima no puede interrumpir”, dijeron recientemente en un informe investigadores de la firma de seguridad de firmware Eclypsium. "Luces apagadas, de hecho".

Los BMC son microcontroladores especializados que tienen su propio firmware y sistema operativo, memoria dedicada, alimentación y puertos de red. Se utilizan para la gestión fuera de banda de servidores cuando sus sistemas operativos principales están apagados. Los BMC son esencialmente computadoras más pequeñas que se ejecutan dentro de servidores y permiten a los administradores realizar tareas de mantenimiento de forma remota, como reinstalar sistemas operativos, reiniciar servidores cuando ya no dejan de responder, implementar actualizaciones de firmware, etc. A esto también se lo conoce a veces como gestión de luces apagadas.

Los investigadores de seguridad han advertido sobre problemas de seguridad en las implementaciones de BMC y la especificación de la Interfaz de gestión de plataforma inteligente (IPMI) que utilizaron durante al menos una década. Las vulnerabilidades incluían credenciales y usuarios codificados, configuraciones erróneas, cifrado débil o ausente, así como errores de código como desbordamientos de búfer. Aunque estas interfaces de gestión deberían funcionar en segmentos de red aislados, a lo largo de los años se han encontrado cientos de miles de personas expuestas a Internet.

El año pasado, los investigadores encontraron un implante malicioso denominado iLOBleed que probablemente fue desarrollado por un grupo APT y se estaba implementando en servidores Hewlett Packard Enterprise (HPE) Gen8 y Gen9 a través de vulnerabilidades en HPE iLO (Integrated Lights-Out) BMC que se conocían desde 2018.

En 2018, los atacantes supuestamente implementaron un programa de ransomware llamado JungleSec en servidores Linux aprovechando interfaces IPMI inseguras que utilizaban credenciales de administrador predeterminadas. En 2016, Microsoft informó que un grupo APT denominado PLATINUM explotó la función Serial-over-LAN (SOL) de la tecnología de administración activa (AMT) de Intel para configurar un canal de comunicación encubierto para transferir archivos. AMT es un componente de Management Engine de Intel (Intel ME), una solución similar a BMC que existe en la mayoría de las CPU de escritorio y servidores de Intel.

Los investigadores de Eclypsium encontraron y revelaron dos nuevas vulnerabilidades en MegaRAC, una implementación de firmware BMC desarrollada por American Megatrends (AMI), el mayor proveedor mundial de BIOS/UEFI y firmware BMC. Los fabricantes de servidores que utilizaron AMI MegaRAC en algunos de sus productos a lo largo del tiempo incluyen productos como AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, NVidia, Qualcomm, Quanta y Tian.

Esta no es la primera vez que Eclypsium encuentra vulnerabilidades en BMC. En diciembre de 2022, la compañía reveló otras cinco vulnerabilidades que identificó en AMI MegaRAC, algunas de las cuales permitían la ejecución de código arbitrario a través de la API Redfish o proporcionaban acceso SSH a cuentas privilegiadas debido a contraseñas codificadas.

Las dos nuevas vulnerabilidades también se encuentran en la interfaz de gestión de Redfish. Redfish es una interfaz estandarizada para la gestión fuera de banda que se desarrolló para reemplazar la IPMI anterior.

Una de las fallas, identificada como CVE-2023-34329, permite a los atacantes eludir la autenticación falsificando los encabezados de solicitud HTTP. La implementación Redfish de MegaRAC permite dos modos de autenticación: autenticación básica, que debe nombrarse en el BIOS, y sin autenticación, que proporciona acceso sin autenticación si las solicitudes provienen de la dirección IP interna o de la interfaz de red USB0.

Los investigadores descubrieron que es posible falsificar los encabezados de solicitud HTTP para engañar al BMC y hacerle creer que la comunicación externa proviene de la interfaz USB0 interna. Si No Auth está habilitado de forma predeterminada, esto brinda a los atacantes la capacidad de realizar acciones administrativas privilegiadas a través de la API Redfish, incluida la creación de nuevos usuarios.

Esta vulnerabilidad está clasificada como crítica con una puntuación CVSS de 9,1 y es grave por sí sola. Cuando se combina con el segundo defecto, CVE-2023-34330, es aún más peligroso. Esto se debe a que la falla CVE-2023-34330 surge de una característica que está habilitada de forma predeterminada para las solicitudes provenientes de la interfaz del host: la capacidad de enviar solicitudes POST que incluyen código real que se ejecutará en el chip BMC con privilegios de root.

"Cuando ambas vulnerabilidades se encadenan, incluso un atacante remoto con acceso de red a la interfaz de administración de BMC y sin credenciales de BMC puede lograr la ejecución remota de código engañando a BMC haciéndole creer que la solicitud http proviene de la interfaz interna", explicaron los investigadores. . "Como resultado, el atacante puede cargar y ejecutar código arbitrario de forma remota, posiblemente desde Internet, si la interfaz está expuesta a él".

Los posibles escenarios de ataque son extensos debido al poder que tienen los BMC sobre el sistema host. Por ejemplo, en un escenario de extorsión, los atacantes podrían aprovechar la funcionalidad del BMC que apaga el sistema cada pocos segundos en un bucle, así como bloquear el acceso administrativo al BMC, dejando a los administradores con un estado del sistema del cual sería muy difícil recuperarse. considerando que el BMC se inicia automáticamente cuando el sistema recibe energía. Los atacantes podrían enviar el mismo comando de reinicio a todos los BMC en la misma red de administración o implementar implantes en todos ellos.

Los atacantes también podrían implementar un implante para espionaje a largo plazo porque los BMC proporcionan control remoto sobre el sistema operativo host e incluso pueden enviar eventos de teclado al sistema operativo como si estuvieran físicamente en la máquina. Estas acciones serían imposibles de detectar o bloquear mediante soluciones de protección de terminales. Los BMC también pueden realizar actualizaciones UEFI/BIOS para que los atacantes puedan enviar una actualización no autorizada que modifique los ajustes o configuraciones de UEFI.

También es posible el movimiento lateral a otros servidores a través de otros BMC, así como el acceso a las credenciales de Active Directory. El acceso también se puede utilizar para comprometer imágenes del sistema operativo invitado en un entorno de nube virtualizado.

Las organizaciones deben garantizar que todas las interfaces de administración de servidores remotos (p. ej., Redfish, IPMI) y los subsistemas BMC estén en redes de administración dedicadas y que el acceso esté restringido a usuarios administrativos que utilicen principios de arquitectura de confianza cero. También se debe revisar la documentación del proveedor para el refuerzo de BMC y se debe deshabilitar cualquier configuración predeterminada insegura o cuentas administrativas integradas y codificadas. El firmware siempre debe mantenerse actualizado y monitoreado para detectar cambios no autorizados.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó una guía sobre cómo reforzar los controladores de administración de placa base, así como otros tipos de interfaces de administración en general.