Cinco vulnerabilidades en el firmware del controlador de gestión de la placa foundation (BMC) que se utiliza en los servidores de 15 de los principales proveedores podrían dar a los atacantes la capacidad de comprometer de forma remota los sistemas ampliamente utilizados en los centros de datos y para los servicios en la nube.
Las vulnerabilidades, dos de las cuales fueron reveladas esta semana por la firma de seguridad de components Eclypsium, ocurren en plataformas informáticas de sistema en chip (SoC) que utilizan el software MegaRAC Baseboard Administration Controller (BMC) de AMI para la administración remota. Las fallas podrían afectar los servidores producidos por al menos 15 proveedores, incluidos AMD, Asus, ARM, Dell, EMC, Hewlett-Packard Company, Huawei, Lenovo y Nvidia.
Eclypsium reveló tres de las vulnerabilidades en diciembre, pero retuvo información sobre dos fallas adicionales hasta esta semana para permitir que AMI tenga más tiempo para mitigar los problemas.
Dado que las vulnerabilidades solo pueden explotarse si los servidores están conectados directamente a Internet, el alcance de las vulnerabilidades es difícil de medir, dice Nate Warfield, director de investigación e inteligencia de amenazas en Eclypsium.
«Realmente no sabemos cuál es el radio de explosión en esto, porque aunque conocemos algunas de las plataformas, no tenemos ningún detalle sobre [how] prolíficas son estas cosas”, dice. “Sabes, ¿vendieron 100.000 de ellas? ¿Vendieron 10 millones de ellos? Simplemente no lo sabemos».
Los controladores de administración de la placa foundation suelen ser un solo chip, o sistema en chip (SoC), instalado en una placa foundation para permitir que los administradores administren servidores de forma remota con un command casi full. MegaRAC de AMI es una colección de software program basada en el proyecto de firmware Open up BMC, un proyecto de código abierto para desarrollar y mantener un firmware de controlador de administración de placa base accesible.
Muchos fabricantes de servidores confían en el application de BMC para permitir que los administradores tomen el control completo del components del servidor a un nivel bajo, lo que les da acceso a funciones de «apagado de luces», el aviso de Eclypsium declaró. Debido a que el software se usa ampliamente, la huella de las características vulnerables es bastante grande.
«[V]Las vulnerabilidades en un proveedor de componentes afectan a muchos proveedores de hardware, que a su vez pueden transmitirse a muchos servicios en la nube», afirmó Eclypsium en su aviso. «Como tales, estas vulnerabilidades pueden representar un riesgo para los servidores y el components que una organización posee directamente, así como para el components que admita los servicios en la nube que utilizan».
AMI es el último fabricante de software de controlador de administración de placa base (BMC) que ha encontrado vulnerabilidades en su código. En 2022, Eclypsium también encontró vulnerabilidades en los servidores de Quanta Cloud Technologies (QCT) que han encontrado un uso común por parte de las empresas de la nube. Y una investigación anterior de la empresa en 2020 descubrió que la falta de firmware firmado en las computadoras portátiles y los servidores podría permitir que un atacante instale un caballo de Troya para controlar los dispositivos de forma remota.
Defectos de diciembre más graves
Las dos últimas fallas publicadas el 30 de enero incluyen dos problemas de menor gravedad. La primera vulnerabilidad (CVE-2022-26872) le da a un atacante la capacidad de restablecer una contraseña si puede programar el ataque durante una ventana estrecha entre el momento en que se valida una contraseña de un solo uso y el momento en que el usuario envía la nueva contraseña. En el segundo problema de seguridad (CVE-2022-40258), el archivo de contraseña se codifica con un algoritmo débil, afirmó Eclypsium.
Ambos problemas son menos graves que las tres vulnerabilidades reveladas en diciembre, que incluyen dos vulnerabilidades: un comando peligroso en la API de BMC (CVE-2022-40259) y una credencial predeterminada (CVE-2022-40242), que podría permitir la ejecución remota very simple de código, afirmó Eclypsium en el aviso. La otra vulnerabilidad (CVE-2022-2827) permite a un atacante enumerar nombres de usuario de forma remota a través de la API.
La API de Redfish reemplaza las versiones anteriores de la Interfaz de gestión de plataforma inteligente (IPMI) en los centros de datos modernos, con el apoyo de los principales proveedores de servidores y el proyecto Open BMC, según Eclypsium.
Eclypsium realizó su análisis del program AMI después de que un grupo de ransomware filtrara el código a Net. No se cree que AMI sea la fuente del código de computer software filtrado más bien, el código es el resultado de un ransomware afectado por un proveedor externo, dice Warfield.
«Lo que descubrimos en el verano fue que alguien había filtrado la propiedad intelectual de un grupo de empresas de tecnología en Online», dice. «Y, mientras estábamos investigando… tratando de averiguar qué era y quién lo tenía, nos encontramos con parte de la propiedad intelectual de AMI. Así que comenzamos a investigar para ver qué podíamos encontrar».
Tasa de aplicación de parches desconocida
AMI ha publicado computer software parcheado para las cinco vulnerabilidades y ahora la mitigación de las vulnerabilidades está en manos de los fabricantes de servidores y sus clientes.
Muchos proveedores, como HPE, Intel y Lenovo, ya han emitido avisos a sus clientes. Sin embargo, parchear esos servidores dependerá de las empresas que tienen los servidores implementados en sus centros de datos.
La aplicación de parches de firmware tiende a ocurrir a un ritmo glacial, lo que debería ser una preocupación, dice Warfield.
«La parte complicada es el tiempo que transcurre entre la salida de los parches y el momento en que la gente los aplica», dice. «BMC no es algo con una especie de mecanismo de actualización de Home windows, en el que se puede decir: ‘Oh, tengo 100 000 servidores que están afectados. Permítanme enviarles esto a todos'».
