信息來源:4hou
研究人員發(fā)現(xiàn)部分超微服務器的Baseboard management controllers (BMC,基板管理控制器)中存在未經(jīng)過授權的虛擬USB掛載攻擊漏洞,攻擊者可以遠程發(fā)起攻擊。許多受影響的服務器主要集中在內(nèi)網(wǎng)中,但研究人員稱已經(jīng)發(fā)現(xiàn)了超過47000個暴露在互聯(lián)網(wǎng)中的服務器。
不安全的連接和認證
研究人員在超微X9, X10, X11平臺的BMC組件的虛擬媒體實現(xiàn)中發(fā)現(xiàn)多個安全問題,統(tǒng)稱USBAnywhere。BMC存在于幾乎所有的服務器母板上,提供了遠程管理單元組件的可能性。管理員可以用他們來配置服務器或重新安裝操作系統(tǒng)以更新固件。
這些小的組件允許以虛擬USB drive的形式來掛載磁盤鏡像。固件安全公司Eclypsium的研究人員發(fā)現(xiàn)一些超微平臺的負責該操作的虛擬媒體服務是通過遠程訪問的,也是不安全的。
在遠程訪問時,虛擬媒體服務允許明文認證,發(fā)送未加密的流量,使用弱加密算法,因此存在認證繞過的潛在風險。
攻擊者可以利用這些弱點,并獲取對目標服務器的遠程訪問權限,就好像真的利用USB接口進行物理訪問一樣??梢钥闯鲞@樣的場景就是完全入侵了服務器,因為這種基于USB的攻擊提供了很多的可能性,包括重裝操作系統(tǒng),植入惡意軟件或改變服務器配置。
弱點
Eclypsium在一篇技術文章中詳細描述了攻擊者如何利用該漏洞的情況。研究人員稱訪問虛擬媒體服務是通過BMC WEB接口的Java應用來實現(xiàn)的。App可以連接到虛擬媒體服務,并監(jiān)聽BMC的TCP 623端口。該服務用定制的基于packet的格式來認證客戶端,并在客戶端和服務器之間移動USB包。
雖然Java應用是基于唯一的session ID來進行認證的,但是研究人員發(fā)現(xiàn)該服務允許明文憑證。而且流量只有在初始認證包中是加密的。而且使用的是RC4流加密方法,key保存在BMC固件中。
另一個漏洞是影響超微X10和X11平臺的認證繞過漏洞。研究人員稱,客戶端在對虛擬媒體服務進行適當?shù)恼J證之后,與客戶端相關的服務內(nèi)部狀態(tài)是保持不變的。因為內(nèi)部狀態(tài)與客戶端的socket file descriptor number有關聯(lián),一個新客戶端可能被BMC操作系統(tǒng)分配一個繼承在之前狀態(tài)的相同的socket file descriptor number。這樣新的客戶端就可以繼承具有相同socket file descriptor number的客戶端的認證狀態(tài)。
雖然目前攻擊者還不能控制BMC操作系統(tǒng)的這一分配過程。但從邏輯上講,攻擊者理論上是可以被分配一個之前認證用戶的socket file descriptor number的。
研究人員掃描623端口發(fā)現(xiàn)有超過90個國家和地區(qū)的47339個BMC受到該虛擬媒體服務的影響,而互聯(lián)網(wǎng)上有超過95000個設備開放了623端口。
研究人員建議用戶更新最新的固件來修復X9, X10,和X11平臺的相關漏洞。
更多技術細節(jié)參見:https://eclypsium.com/2019/09/03/usbanywhere-bmc-vulnerability-opens-servers-to-remote-attack/