Баг в BMC-контроллерах позволяет переписать их прошивку

25 января 2019 г., пятница

Проблема затрагивает устройства различных производителей и требует патча как для хоста, так и для уязвимой платы.

Серьезную уязвимость, связанную с реализацией AHB-мостов контроллеров удаленного доступа, обнаружил ИБ-специалист Стюарт Смит (Stewart Smith) из IBM Linux Technology Center.

Баг затрагивает ряд устройств различных производителей и позволяет злоумышленникам изменять конфигурацию контроллера, осуществлять несанкционированные операции чтения и записи, а также вызвать сбой в работе центрального процессора. Эксперты считают, что для решения проблемы необходимы патчи как для прошивки контроллера, так и для серверного чипсета.

Уязвимость найдена в наборе микросхем ASPEED, использующем прошивку OpenBMC, разработанную совместными усилиями Google, Facebook, Intel, Microsoft и IBM. По словам исследователя, аналогичный баг присутствует в системном ПО Supermicro и AMI. Брешь затрагивает ряд программных и аппаратных компонентов контроллера и связана с работой движка X-DMA, а также функционированием моста AHB для шин LPC/PCIe и защищенной консоли UART.

Уязвимость CVE-2019-6260 дает злоумышленнику возможность вносить любые изменения в прошивку, внедрять в нее вредоносный код, а также полностью перезаписать ПО для управления контроллером. При этом обнаружить подмену будет довольно сложно, поскольку BMC по умолчанию не имеют средств безопасной загрузки системных обновлений.

Аналитики IBM разработали PoC, демонстрирующий эксплуатацию уязвимости. Для взлома контроллера через шины LPC и PCIe злоумышленнику необходим административный доступ к хосту, на котором установлена плата, а при атаке с использованием UART достаточно прав обычного пользователя.

Эксперт подтвердил наличие проблемы в платах ASPEED AST2400 и AST2500, работающих на платформе IBM POWER x86_64, однако считает, что чипы с другой архитектурой также обладают этим недостатком. Системы, использующие прошивку IBM OpenPOWER, уже получили патч как для сервера, так и для контроллера удаленного доступа вместе с версией 2.0.11 системного ПО. По словам представителя Linux Foundation, команда разработчиков OpenBMC выпустит свои рекомендации по безопасности в ближайшее время.

Похожие проблемы с контроллером BMC обнаружили специалисты компании Eclypsium в декабре прошлого года. Исследователи разработали эксплойт, не только заменявший прошивку устройства, но и удалявший код интерфейса UEFI, который служит мостом между оборудованием сервера и операционной системой.

Threatpost