企业服务器供应链中的易受攻击的固件

研究人员警告，联想产品中使用的底板管理控制器（BMC）固件中的两种严重漏洞，可以利用一些服务器产品中的制造商来隐藏来自操作系统，管理程序和防病毒系统的恶意软件。

BMC是一种专业的服务处理器，可以使用传感器监控计算机，网络服务器或其他硬件设备的物理状态，并通过独立连接与系统管理员通信。

在调查供应链中的BMC固件脆弱性期间，安全公司Eclypsium的研究人员发现了该漏洞。

来自Vertiv（以前的Avocent）的第三方BMC固件的漏洞使企业易于数据丢失和永久性损坏硬件，同时使攻击者甚至跨越新的操作系统安装。

第一个漏洞是在接受更新之前执行加密签名验证的更新过程中的故障，而第二个漏洞在接受更新之前执行加密签名验证，而第二个漏洞在执行固件更新过程的BMC中的代码中涉及命令注入漏洞。

这两个问题都允许在主机上使用管理权限（例如通过利用不同的基于主机漏洞）来运行BMC内的任意代码的攻击者，并且可以由攻击者使用对BMC固件的恶意修改以维护研究人员发现，在系统中持久性和生存的常见事件响应步骤，例如重新安装操作系统，发现。

攻击还可以修改BMC中的环境，以防止通过软件机制更新任何进一步的固件更新，从而使攻击者永久禁用BMC，并且如果攻击者已经能够捕获管理密码，则可以远程利用更新机制研究人员说，BMC。

联想是第一个在发现的安全咨询中公开的，即公司已经意识到在某些遗留联想ThinkServer标配服务器中，在BMC固件下载命令中存在命令注入漏洞。

“这允许特权用户下载并执行BMC内的任意代码。这只能通过授权特权用户利用，“咨询说。

联想感谢Eclypsium研究团队通知公司漏洞，并敦促客户确保他们在受影响产品上更新BMC固件。联想还建议了服务器客户来限制对受信任管理员的授权特权访问权限。

gigabyte发布了一个更新的固件版本，以修复使用AST2500 2019年5月8日使用AST2500的系统的命令注入漏洞，但尚未发布此问题的咨询。研究人员表示，截至2019年6月21日，AST2400固件版本仍未被淘汰，并添加了Vertiv没有回应他们的通信。

除了使用来自Vertiv的BMC固件的联想和千兆字节产品外，Eclypsiup研究人员还表示，千兆字节还将主板提供给较小的系统集成商，然后在自己的品牌下构建完整的系统。

这意味着该易受攻击的固件包括在各种供应商的服务器中，包括宏碁，Amax，Bigtera，Ciara，企鹅计算和Sysgen。

研究人员说，供应商广泛的供应商展开凸显了该行业的重要挑战。“大多数硬件供应商都没有写自己的固件，而是依靠他们的供应链伙伴。固件是从第三方获得的常见许可，并使用很少的修改，允许漏洞扩展到许多不同的品牌和产品，“他们在博客文章中说。

鉴于这一事实，研究人员表示，制造商应该彻底测试他们漏洞许可的任何固件，而企业安全团队应作为接受任何新硬件的一部分执行设备固件的安全扫描。

研究人员还注意到BMC漏洞的范围远远超出新发现的一对漏洞，并且不仅仅限于少数供应商。

“行业Stalwarts HP Enterprise和Dell都被发现拥有自己的严重固件BMC漏洞。随着我们之前的Supermicro的研究表明，服务器固件中的漏洞很常见，可能对企业IT基础架构产生重大影响。研究人员说，它们允许攻击者在服务器内部持续未被发现在服务器内部甚至永久禁用受害者服务器。“

作为攻击者和国家国家的目标高价值资产，研究人员援助BMC和关键服务器内的其他固件提供了一个特别的战略目标，因为它们可用于永久地“砖”服务器及其内容。

VertiV的发言人说：“作为对OEM社区的BMC固件的领先提供商，Avocent早于2012年开始与关键客户合作，在业内常见的情况下，加密并提供更新的软件或固件来自可信源的验证。2014年，Avocent发布了包含验证签名的MergePoint EMS BMC固件平台的功能升级。在过去的一年中，我们被告知了命令行问题并迅速为客户开发并发布了补丁。

“我们不了解与此相关的任何问题，重要的是要注意，研究人员所识别的问题无法用于渗透网络或系统。只有有权访问系统的人可以利用它。我们感谢研究人员为我们的注意力带来了这样的事情。它有助于加强我们的产品，并提供机会提醒所有消费者和企业定期安装软件更新和补丁以保持其系统当前。“