Ошибка в Supermicro может привести к тому, что "Виртуальные USB-устройства" захватят корпоративные серверы

Недавно обнаруженная уязвимость в оборудовании Supermicro создает угрозу проникновения вредоносных USB-устройств на корпоративные серверы.

С безопасностью корпоративной сети МНОГОЕ может пойти не так, но мы надеемся, что, по крайней мере, люди знают, что нельзя подключать незнакомые USB-накопители к сетевым компьютерам. Но оказывается, что злоумышленник может использовать недостатки в устройстве удаленного управления, чтобы подключать любые "виртуальные" флэш-накопители, которые он хочет. И один и тот же тип атаки может превратить практически любое USB-устройство в виртуального троянского коня.

Однако в новых выводах, представленных во вторник на конференции по прошивкам с открытым исходным кодом в Кремниевой долине, исследователи из охранной фирмы Eclypsium подробно описывают уязвимости в ряде контроллеров управления базовыми платами Supermicro. Это специальные процессоры, установленные на материнских платах серверов, которые позволяют системным администраторам управлять оборудованием на расстоянии. Это удобно, когда администраторам нужно загружать старое программное обеспечение на сервер с компакт-диска или обновлять операционную систему с образа на внешнем жестком диске. BMC облегчают это без необходимости физического подключения чего-либо к самому серверу. Сервер просто будет считать, что устройство подключено напрямую.

Однако исследователи обнаружили, что BMC на платформах Supermicro X9, X10 и X11 содержат недостатки, которые могут быть использованы для превращения этой законной функции в оружие. Злоумышленник потенциально может перенести данные на флэш-накопитель или внешний жесткий диск, заменить операционную систему сервера на вредоносную или даже вывести сервер из строя. Злоумышленники могут воспользоваться этой уязвимостью, когда у них уже есть доступ к корпоративной сети, чтобы получить более глубокий контроль, перейдя на BMC сбоку. Но они также могут запускать эти атаки удаленно, если организации оставляют свои BMC доступными в открытом Интернете — как, например, более 47 000 открытых BMC, обнаруженных исследователями в ходе недавней проверки.

"Во многих моделях безопасности предполагается, что физическое присутствие является серьезной проблемой. Однако в нашем случае мы имеем эквивалент физического присутствия", - говорит Рик Альтерр, главный инженер Eclypsium. "Это действительно открывает бесконечные возможности. А BMC - это очень и очень распространенные устройства".

Если бы администратор захотел виртуально подключить USB-устройство к серверу, он бы использовал веб-приложение удаленного управления "виртуальными носителями" со своего ноутбука или другого устройства, чтобы, по сути, войти в BMC и воспользоваться преимуществами его аппаратного контроля доступа. Однако исследователи Eclypsium обнаружили, что средства защиты аутентификации в системах, использующих эти протоколы виртуальной среды, уязвимы для многочисленных типов атак.

Например, система может неправильно хранить законные логины администратора, иногда позволяя следующему пользователю ввести любое имя пользователя и пароль и получить доступ. Альтхерр сказал, что при тестировании он обнаружил, что эта ошибка очень надежна, но даже если зияющее открытое окно внезапно закроется, злоумышленник все равно может использовать учетные данные Supermicro по умолчанию, которые часто не были изменены. А для злоумышленника, который уже находится в сети и хочет подключиться к BMC, есть еще один вариант получения учетных данных путем перехвата трафика между веб-приложением и BMC, поскольку соединение защищено только относительно слабым шифрованием.

Исследователи сообщили о недостатках Supermicro в июне, и компания выпустила обновления прошивки для всех затронутых BMC. Генеральный директор Eclypsium Юрий Булыгин отмечает, что, как и на многих корпоративных устройствах, BMC часто не спешат обновлять прошивку на практике. В результате, скорее всего, потребуется время, чтобы исправления достигли уязвимых серверов.

"Мы хотим поблагодарить исследователей, которые выявили уязвимость BMC Virtual Media", - говорится в заявлении представителя Supermicro. "Лучшей практикой в отрасли является использование BMC в изолированной частной сети, не подключенной к Интернету, что уменьшит, но не устранит выявленную уязвимость. Новые версии программного обеспечения BMC устраняют эти уязвимости."

У атаки есть все преимущества, заключающиеся в том, что она позволяет обманом заставить сотрудников подключать вредоносные флэш-накопители к сетевым компьютерам без необходимости делать это на самом деле. А поскольку злоумышленник может подключить любое USB-устройство, он может использовать эти же уязвимости, чтобы "подключить" клавиатуру к серверу и напрямую отдавать команды, такие как выключение сервера или указание ему загрузиться с внешнего образа диска.

"Если вы можете подключиться к внутренней сети, BMC часто легко использовать — недавние публикации показывают это все чаще и чаще", - говорит Джатин Катария, главный научный сотрудник компании Red Balloon, занимающейся безопасностью встраиваемых устройств. Он добавляет, что, хотя в крупных корпоративных сетях всегда есть (или должны быть) средства обнаружения вторжений, законно выглядящие подключения к BMC могут обмануть эти средства защиты. "Я не думаю, что BMC даже фигурировала в модели корпоративных угроз до недавнего раскрытия информации", - говорит он.

В расследовании, опубликованном в октябре 2018 года, Bloomberg Businessweek утверждал, что многие материнские платы Supermicro по всему миру были взломаны с помощью физического бэкдора, установленного китайскими военными. Supermicro и другие технологические гиганты, использующие серверы компании, отрицают достоверность отчета.

Исследователи Eclypsium надеются повысить осведомленность о потенциальных рисках, которые могут исходить от BMC-систем в целом, поскольку они являются привилегированными устройствами, предназначенными для удаленного использования. Они предоставляют подлинный сервис сетевым администраторам и могут помочь им в обновлении системы безопасности. Но, как и в случае с любым подобным инструментом, злоумышленники потенциально могут злоупотребить этими же возможностями.