محققان امنیت سایبری از Eclypsium دو آسیب پذیری هک حیاتی را در نرم افزار AMI MegaRAC Baseboard Management Controller (BMC) کشف کرده اند.
برای مطالعه (هکر ها به عنوان شرکت امنیت سیستم را قفل می کنند) اینجا کلیک کنید.
ابزار هک Redfish بر روی سرور های امنیتی مهم
این نرمافزار برای دسترسی کامل تیمهای فناوری اطلاعات به سرورهای مرکز ابر طراحی شده است و به آنها امکان میدهد سیستمهای عامل را مجدداً نصب کنند، برنامهها را مدیریت کنند و نقاط پایانی را حتی زمانی که خاموش هستند مدیریت کنند. در زبان عامیانه صنعتی، نرم افزار امکان مدیریت سیستم از راه دور “خارج از باند” و “چراغ خاموش” را فراهم می کند.
این دو نقص بهعنوان CVE-2023-34329 (دور زدن احراز هویت از طریق جعل هدر HTTP) با نمره شدت 9.9 و CVE-2023-34330 (تزریق کد از طریق رابط برنامه افزودنی Redfish Dynamic) با امتیاز شدت 8.2 ردیابی میشوند. با زنجیر کردن این آسیبپذیریها، عوامل تهدید میتوانند از رابط مدیریت از راه دور Redfish استفاده کنند و قابلیتهای اجرای کد از راه دور را در سرورهای آسیبپذیر به دست آورند.
با توجه به محبوبیت این ابزار، این میتواند به معنای آسیب بر روی میلیونها سرور باشد. زیرا سیستمافزار آسیبپذیر توسط برخی از بزرگترین تولیدکنندگان سرور در جهان استفاده میشود که به ارائهدهندگان خدمات ابری و مراکز داده با مشخصات بالا خدمات میدهند: AMD، Asus، ARM، Dell EMC، Gigabyte، Lenovo، Nvidia، Qualcomm، HPE، Huawei و غیره.
این هک پتانسیل مخرب بسیار گسترده ای دارد
به گفته محققان، پتانسیل مخرب بسیار گسترده است. زیرا عوامل تهدید می توانند به داده های حساس دسترسی پیدا کنند، باج افزارها، تروجان ها را نصب کنند یا حتی سرورها را با قرار دادن آنها در یک حلقه راه اندازی مجدد بی پایان غیرقابل توقف، نصب کنند.
محققان در نوشته خود هشدار دادند: «ما همچنین باید تأکید کنیم که شناسایی چنین ایمپلنتی میتواند بسیار سخت باشد. و بازآفرینی آن برای هر مهاجمی در قالب یک اکسپلویت یک خطی بسیار آسان است».
از آن زمان یک پچ توسط AMI در دسترس قرار گرفت و به مشتریان خود توصیه کرد که فوراً آن را اعمال کنند. زیرا این بهترین راه برای محافظت در برابر خطرات احتمالی است.
چرا جلوگیری از هک سرور ها مهم است؟
نقص ها به دلیل پتانسیل مخرب بسیار زیادشان اهمیت دارند. از آنجایی که این موارد در تامینکننده قطعات سختافزاری یافت میشوند، میتوانند به بسیاری از ارائهدهندگان خدمات ابری سرازیر شوند و سازمانهای بیشماری را تحت تأثیر قرار دهند. آسیب پذیری هایی مانند این دو برابر با ضربه زدن به سرور اصلی حملات زنجیره تامین است.
همه چیز تقریباً دو سال پیش آغاز شد که یک عامل تهدید به نام RansomEXX نقاط پایانی متعلق به غول سختافزار رایانه گیگابایت را به خطر انداخت. کلاهبرداران بیش از 100 گیگابایت اطلاعات حساس از جمله اطلاعات متعلق به اینتل، AMD و از جمله AMI را به سرقت بردند. این دادهها متعاقباً به وب تاریک منتشر شد. جایی که محققان امنیت سایبری از Eclypsium (و همچنین سایرین، و احتمالاً بسیاری از بازیگران مخرب) دریافت کردند.
محققان دو zero-days را کشف کردند که سال ها در کمین داده ها بود. این شامل استفاده از رابط مدیریت از راه دور Redfish برای به دست آوردن قابلیت های اجرای کد از راه دور است. Ars Technica در نوشتن خود توضیح می دهد، به عنوان جانشین ارائه دهندگان IPMI سنتی، و یک استاندارد API برای مدیریت زیرساخت سرور و سایر زیرساخت های مورد نیاز برای مراکز داده امروزی ارائه می دهد. عملاً توسط تمام فروشندگان سرور و زیرساخت و پروژه سفتافزار OpenBMC پشتیبانی میشود.
نقص های امنیتی سرور، بستر مناسب هک را می سازد
نقص ها در نرم افزار BMCs – Baseboard Management Controller یافت می شوند. این مدیران به مدیریت وضعیت «god mode» را بر روی سرورهایی که مدیریت میکنند اعطا میکنند. طبق گزارش Ars Technica، AMI ارائهدهنده پیشرو در سیستمافزار BMC و BMC است و به طیف گستردهای از فروشندگان سختافزار و ارائهدهندگان خدمات ابری، از جمله بزرگترین نامها، خدمات میدهد.
محققان همچنین اضافه کردند که پس از تجزیه و تحلیل کد منبع در دسترس عموم، آنها توانستند آسیبپذیریها را پیدا کنند و بدافزار بنویسند و اظهار داشتند که هر عامل مخربی در آنجا میتواند همین کار را انجام دهد. حتی اگر به کد منبع دسترسی نداشتند، باز هم میتوانستند با کامپایل کردن تصاویر میانافزار MBC، ایرادات را شناسایی کنند. خبر خوب این است که هنوز هیچ مدرکی وجود ندارد که کسی این کار را انجام داده باشد.
دیگران در مورد عیب های عامل هک چه گفته اند؟
برای HD Moore، مدیر ارشد فناوری و یکی از بنیانگذاران runZero، اکنون بسیار مهم است که مشتریان بالقوه آسیبدیده را فوراً سیستمهای خود را وصله کنند:
زنجیره حمله شناساییشده توسط Eclypsium به مهاجم از راه دور اجازه میدهد تا به طور کامل و احتمالاً برای همیشه BMCهای آسیبپذیر MegaRAC را در معرض خطر قرار دهد. “این حمله 100٪ قابل اعتماد خواهد بود و پس از این واقعیت تشخیص آن دشوار است.
او اضافه کرد که بهروزرسانی سیستم عامل AMI معیوب، اگر محیطها وصلههای خودکار خود را انجام داده باشند، یا اگر اترنتهای دارای BMC را که برای مدیریت خارج از باند استفاده میشوند، برای استفاده از شبکه اختصاصی پیکربندی کرده باشند، نباید خیلی دردسرساز باشد.