Een pas ontdekte kwetsbaarheid in AMI MegaRAC BMC laat aanvallers toe om vanop afstand servers over te nemen, zelfs indien die zijn uitgeschakeld. De bug werd ontdekt aan de hand van publiek beschikbare broncode.
Beveiligingsbedrijf Eclypsium deelt nieuwe en gevaarlijke kwetsbaarheden in de American Megatrends MegaRAC Baseboard Management Controller (AMI MegaRAC BMC).Die kwetsbaarheden laten aanvallers toe om op grote schaal servers te infecteren. MegaRAC BMC is een component dat door serverfabrikant en wereldwijd wordt gebruikt voor zogenaamd ‘lights out’-beheer. Via het component kunnen administrators servers beheren, zelfs wanneer die zijn uitgeschakeld.
Gigabyte-lek
Twee jaar geleden werd serverfabrikant Gigabyte getroffen door een ransomware-aanval. Criminelen gingen toen aan de haal met 112 GB aan data, waaronder de broncode voor de firmware van de MegaRAC BMC. De onderzoekers van Eclypsium gingen aan de slag met die code en ontdekte vijf kwetsbaarheden. Met die kwetsbaarheden kunnen hackers aan de slag om de controle van servers over te nemen, te spioneren of de toestellen eenvoudig weg stuk te maken. Zelfs fysieke schade aanrichten door met de voltages te knoeien behoort tot de mogelijkheden.
Wanneer aanvallers zich toegang verschaffen tot een beheersysteem, kunnen ze bovendien alle servers met de BMC hetzelfde commando sturen. Zo hebben aanvallen het potentieel om op grote schaal schade aan te richten. Eclypsium heeft AMI op de hoogte gebracht van de kwetsbaarheden. Het bedrijf heeft intussen een patch uitgebracht voor de firmware. Helaas worden firmware-updates traditioneel niet zo vlot uitgerold, zodat het risico op misbruik in vele gevallen actueel blijft.
Beschikbare broncode
Twee kwetsbaarheden zijn volgens Eclypsium van belang:
- CVE-2023-34329 maakt het mogelijk om authentication te omzeilen via HTTP Header Spoofing.
- CVE-2023-34330 geeft hackers de mogelijkheid om code te injecteren via de Dynamic Redfish Extension interface
De beveiligingsonderzoekers merken op dat aanvallers via het lek bij Gigabyte toegang hadden tot dezelfde code en de aanvalsvector misschien zelf ook al ontdekt hebben. Patchen is daarom van groot belang. Eclypsium benadrukt verder dat de mensen van AMI uitstekend hebben gereageerd en meegewerkt in navolging van de ontdekking van de lekken. Op dit moment is er nog geen bewijs van misbruik van de bugs in het wild.
Om de aanval uit te buiten, moeten hackers wel op één of andere manier toegang krijgen tot een management-interface. Door dergelijke beheersnetwerken niet extern bloot te stellen, kan een groot deel van het risico al gemitigeerd worden. Verder is en blijft updaten van belang, zeker voor een component dat zo kritiek is als een BMC.