Meer dan 47.000 servers van fabrikant Supermicro zijn kwetsbaar voor hacking door nieuw ontdekte kwetsbaarheden in de BMC-firmware. Die zetten de deur open voor aanvallers om een getroffen server via een ‘virtuele usb-stick’ over te nemen.
De kwetsbaarheden werden ontdekt door onderzoekers van hardwaresecurityspecialist Eclypsium en gebundeld onder de naam ‘USBAnywhere’. Het team presenteerde zijn bevindingen tijdens de afgelopen Open Source Firmware Conference in Silicon Valley, schrijft Wired.
Concreet gaat het om een probleem in de firmware van baseboard management controllers (BMC) in de X9-, X10- en X11-serverborden van Supermicro. Dankzij BMC kan een systeeembeheerder vanop afstand hardware virtueel op een server aansluiten, bijvoorbeeld om een OS te upgraden vanaf een image op een externe harde schijf.
De onderzoekers van Eclypsium ontdekten dat deze legitieme functie op de Supermicro-borden in kwestie kwetsbaarheden bevat, die een aanvaller toelaten om data af te tappen naar een usb-stick of externe harde schijf, het OS te vervangen door een eigen besturingssysteem, of de server zelfs volledig offline te halen.
Lekke beveiliging
De kwetsbaarheden komen voort uit een reeks fouten in het ontwerp van een Java-toepassing die zorgt voor de toegang tot BMC. Supermicro heeft daarbij enkele steken laten vallen door plaintext authenticatie toe te staan, netwerkverkeer niet standaard te encrypteren, en in geval van encryptie een zwakke vorm te gebruiken. Bovendien kan authenticatie in sommige gevallen worden omzeild op X10- en X11-systemen.
De aanval vereist in principe dat een aanvaller reeds toegang heeft tot het bedrijfsnetwerk, om vervolgens lateraal via BMC naar andere servers te springen. Een aanvaller kan evenwel ook vanop afstand de BMC aanspreken, als die toegankelijk is via het internet. De onderzoekers vonden bij een scan meer dan 47.000 Supermicro-servers die op deze manier publiek zijn blootgesteld.
Patches beschikbaar
Eclypsium bracht Supermicro afgelopen juni op de hoogte van de ontdekking. Het bedrijf heeft sindsdien firmware-updates uitgebracht voor alle getroffen hardware. Snel patchen is dus de boodschap, al blijkt dat in praktijk steeds een uitdaging. Vaak doen bedrijven er erg lang over om te updaten of zijn ze simpelweg niet op de hoogte van de kwetsbaarheden. Al leert de recente aanpak van Mulesoft, na de ontdekking van een kritiek lek in zijn middleware, dat het ook anders kan.
Het nieuws komt ongeveer een jaar na een controversieel Bloomberg-artikel over vermeende Chinese spionagechips in de moederborden van Supermicro. De serverfabrikant, evenals grote klanten Apple en Amazon, ontkenden die aantijgingen stellig. Een onafhankelijke audit in december vorig jaar vond bovendien geen bewijs van de aanwezigheid van dergelijke chips. Desondanks haalde Supermicro voor alle zekerheid wel zijn productie weg uit China.