USBAnywhere Supermicro IPMI Virtual Media Schwachstelle

Am 3. September 2019 (US-Zeit) hat die Firma Eclypsium im Zuge der Open Source Firmware Conference 2019 Informationen zu einer IPMI Sicherheitslücke von Supermicro BMCs veröffentlicht. Über die Funktion Virtual Media ist es möglich, ohne eine spezielle Authentisierung ein USB-Gerät von der Ferne zu mounten und so Schadcode auf zum Server zu übertragen.

Problem

Die Forscher von Eclypsium haben nachgewiesen, dass es über eine Schwachstelle der Virtual Media Funktion es möglich ist, ohne vorheriger Authentisierung von der Ferne virtuelle USB-Geräte auf einem Server einzubinden und auf diese Weise potentiellen Schadcode zum Server zu übertragen.^[1]

Lösung

IPMI nicht offen im Internet betreiben

Thomas-Krenn empfiehlt als Best Practice allgemein sämtliche administrativen Zugänge wie SSH-Login, Remote Desktop Verbindungen oder IPMI Ports nicht offen im Internet zu betreiben, sondern ausschließlich in einem geschützten Netzwerk. In solchen Fällen besteht kein unmittelbares Risiko. Informationen dazu finden Sie an folgenden Stellen:

IPMI Best Practices (Thomas-Krenn-Wiki)
7 Punkte für mehr Sicherheit im Umgang mit IPMI (TKmag, 04.07.2016)
IPMI Sicherheit – Best Practices (Thomas-Krenn Webinar Aufzeichnung, 03.11.2014)

Virtual Media Funktion deaktivieren

Um den Zugriff auf die Virtual Media Schnittstelle zu unterbinden, empfehlen wir bis zur Verfügbarkeit einer neuen Firmware die Virtual Media Funktion im IPMI Webinterface unter Configuration -> Ports -> Virtual Media zu deaktivieren.

Firmware Update

Informationen zu verfügbaren Firmware Updates finden Sie im Artikel IPMI Sicherheitsupdates.

Weitere Informationen

BMC/IPMI Security Vulnerability (www.supermicro.com)
Security Vulnerabilities Table (www.supermicro.com)
USBAnywhere-Bug legt Supermicro Server für Remote-Attacken offen (www.heise.de, 04.09.2019)

Einzelnachweise

↑ Virtual Media Vulnerability in BMC Opens Servers to Remote Attack (eclypsium.com, 03.09.2019)

Autor: Werner Fischer

Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.

[1] Virtual Media Vulnerability in BMC Opens Servers to Remote Attack (eclypsium.com, 03.09.2019)

[1]