Luka bezpieczeństwa USBAnywhere w IPMI na płytach głównych Supermicro
3 września 2019 roku, podczas konferencji Open Source Firmware 2019, firma Eclypsium opublikowała informację o luce bezpieczeństwa IPMI w BMC na płytach głównych Supermicro. Korzystając z funkcji Virtual Media, możliwe jest zdalne zamontowanie urządzenia USB bez specjalnego uwierzytelniania, a tym samym przeniesienie złośliwego kodu na serwer.
Uwaga: Ta strona jest regularnie aktualizowana.
Problem
Badacze z firmy Eclypsium pokazali, że luka w funkcji Virtual Media pozwala na zdalne podłączenie wirtualnych urządzeń USB do serwera bez uprzedniego uwierzytelnienia i tym samym przeniesienie potencjalnego złośliwego kodu na serwer.[1]
Rozwiązanie problemu
Nie korzystać w sposób otwarty z interfejsu IPMI w Internecie
Thomas-Krenn generalnie zaleca, aby wszystkie połączenia administracyjne, takie jak login SSH, zdalne połączenia biurowe lub porty IPMI, nie były realizowane otwarcie w Internecie, lecz tylko w chronionej sieci. W takich przypadkach nie ma bezpośredniego ryzyka.
Wyłączenie funkcji Virtual Media
Aby uniemożliwić dostęp do interfejsu wirtualnych mediów, zalecamy wyłączenie funkcji Virtual Media w interfejsie sieciowym IPMI w zakładce Configuration -> Ports -> Virtual Media, aż pojawi się nowy firmware..
Aktualizacja firmware'u
Informacje o dostępnych aktualizacjach firmware'u znajdują się w artykule Aktualizacje bezpieczeństwa IPMI.
Dodatkowe informacje
- BMC/IPMI Security Vulnerability (www.supermicro.com)
- Security Vulnerabilities Table (www.supermicro.com)
- USBAnywhere-Bug legt Supermicro Server für Remote-Attacken offen (www.heise.de, 04.09.2019)
Odnośniki
- ↑ Virtual Media Vulnerability in BMC Opens Servers to Remote Attack (eclypsium.com, 03.09.2019)
Autor: Werner Fischer