Aktualizacja bezpieczeństwa IPMI Supermicro - listopad 2013

W interfejsie webowy modułów IPMI zintegrowanych na płytach głównych generacji X9 firmy Supermicro w połączeniu z firmwarem w wersji v2.24 i starszymi występują luki bezpieczeństwa, w tym krytyczna luka prowadząca do przepełnienia bufora (buffer overflow). Luki bezpieczeństwa zostały stwierdzone podczas analizy bezpieczeństwa organizacji Rapid7. Poniższe analizy opisują proces wykrycia luk:

Supermicro IPMI Firmware Vulnerabilities (community.rapid7.com)
Exploiting the Supermicro Onboard IPMI Controller (community.rapid7.com)

W tym artykule znajdują się szczegółowe informacje o lukach bezpieczeństwa i procedurze aktualizacji firmware'u IPMI.

Ogólne informacje dotyczące bezpieczeństwa

Niezależnie od opisanych tu luk bezpieczeństwa zalecamy przeprowadzanie wszystkich aktywności administracyjnych, takich jak zdalny dostęp do modułu zarządzania IPMI oraz usługi SSH, jedynie pod ochroną firewalla i za pośrednictwem połączeń VPN.

Sprzęt którego dotyczą luki

Według Rapid7 luki zostały stwierdzone z IPMI w wersji SMT_X9_226.^[1] Exploit dla buffer overflow został opracowany przez Rapid7 przy pomocy wersji IPMI SMT_X9_214.^[2] W Thomas-Krenn.AG zostało zweryfikowane występowanie luki w close_window.cgi z wersją firmware'u 02.24.

Spośród płyt głównych oferowanych przez Thomas-Krenn.AG problem może dotyczyć następujących modeli:

płyty X9 pod procesory Intel (z firmwarem w wersji v2.24): X9SCA-F, X9SCM-F, X9DBL-iF, X9DR7-LN4F, X9DRi-F, X9DRW-3LN4F+, X9DRT-HF, 5037MC-H8TRF (X9SCD-F), SYS-2027TR-H71RF

Szczegóły

Skrypty CGI login.cgi i close_window.cgi interfejsu webowego IPMI są podatne na przepełnienie bufora.^[1] Luki te wynikają z korzystania z funkcji strcpy i strcat bez kontroli długości.

Dla luki skryptu CGI close_window.cgi został opublikowany exploit, który umożliwia wykonanie poleceń root bez konieczności autoryzacji.^[2]^[3]

Skutki

Napastnik z dostępem do portu 80 adresu IP modułu IPMI może poprzez wysyłanie odpowiednich zapytań wywołać przepełnienie bufora (buffer overflow). Luka ta pozwala na wykonanie poleceń z uprawnieniami root na IPMI BMC bez konieczności autoryzacji (Arbitrary Code Execution).

Środki zaradcze

Firmware SMT_X9_315 zamyka następujące luki bezpieczeństwa:^[4]

Hardcoded WSMan credentials (CVE-2013-3620)
CGI: login.cgi (CVE-2013-3621)
CGI: close_window.cgi (CVE-2013-3623)
Stack-based buffer overflow (CVE-2013-3607)
Improper input validation (CVE-2013-3608)
Improper privilege management (CVE-2013-3609)

Uwaga: według Supermicro zmiany w zarządzaniu hasłami uniemożliwia downgrade z wersji 3.x do 2.x.^[5]

Następujące wersje firmware'u zamykają te luki bezpieczeństwa:

płyty X9 pod procesory Intel (X9SCA-F, X9SCM-F, X9DBL-iF, X9DR7-LN4F, X9DRi-F, X9DRW-3LN4F+, X9DRT-HF, 5037MC-H8TRF (X9SCD-F), SYS-2027TR-H71RF): Firmware IPMI v3.15 (SMT_X9_315.bin)

Thomas-Krenn.AG zaleca wszystkim klientom, których systemów dotyczą te luki, przeprowadzenie aktualizacji firmware'u i przeprowadzanie wszystkich aktywności administracyjnych, takich jak zdalny dostęp do modułu zarządzania IPMI oraz usługi SSH jedynie pod ochroną firewalla i za pośrednictwem połączeń VPN.

Informacje odnośnie procesu aktualizacji firmware'u znajdują się w artykule Aktualizacja firmware'u modułu IPMI na płycie głównej Supermicro z oprogramowaniem ATEN.

Odnośniki

Autor: Georg Schönberger

[ipmi-vuln-1] 1,0 ^1,1 Supermicro IPMI Firmware Vulnerabilities

[ipmi-expl-2] 2,0 ^2,1 Exploiting the Supermicro Onboard IPMI Controller

[3] Metasploit smt_ipmi_close_window_bof.rb

[4] Supermicro Firmware Fixes to Common Vulnerabilities and Exposures

[5] Supermicro Firmware List

[1]

[2]

[3]

[4]

[5]