На этой неделе стало известно, что инженеры Gigabyte и Lenovo опубликовали обновленные прошивки для своих серверных материнских плат. Дело в том, что специалисты компании Eclypsium обнаружили сразу две серьезные уязвимости в составе Vertiv Avocent MergePoint EMS BMC.
Gigabyte, Lenovo и другие вендоры используют компонент MergePoint EMS в качестве BMC (Baseboard Management Controller) на своих серверных материнских платах. Напомню, что BMC оснащается собственным CPU, системой хранения данных и LAN-интерфейсом, через который удаленный администратор может подключиться и отдать серверу или ПК команду на выполнение определенных операций (изменение настроек ОС, переустановка ОС, обновление драйверов и так далее).
Эксперты Eclypsium сообщили, что MergePoint EMS, во-первых, не использует криптографически безопасный процесс обновления, то есть злоумышленник, уже проникший в систему, с легкостью сможет подменить настоящую прошивку BMC на вредоносную. Во-вторых, из-за еще одного бага в MergePoint EMS можно было осуществлять инжекты команд, что позволяло выполнить вредоносный код с повышенными привилегиями.
Хотя использование обеих уязвимостей предполагает, что атакующий должен предварительно скомпрометировать целевую машину и проникнуть в систему, исследователи предупредили, что проблемы все равно чрезвычайно опасны, так как могут использоваться для внедрения весьма устойчивых бэкдоров, которые смогут «выжить» даже после переустановки ОС.
Еще в ноябре 2018 года Lenovo выпустила обновления прошивки, адресованные этим проблемам, однако фактически разработчики устранили только одну уязвимость, допускающую инжекты команд. Вторую проблему (с обновлениями прошивок) в компании устранять не планируют, ссылаясь на то факт, Lenovo стала применять MergePoint EMS в качестве BMC еще в 2014 году, когда обновления прошивки с криптографической подписью не были отраслевым стандартом, и такая защита попросту не была включен в дизайн компонента. Хуже того, точный список серверных продуктов, использующих уязвимые BMC, обнародован не был.
Gigabyte, в свою очередь, представила обновленные прошивки для своих решений в мае, но компания тоже оставила без исправления уязвимость, связанную с небезопасным обновлением прошивок. По данным Eclypsium, разработчики Gigabyte опубликовали патчи только для материнских плат, использующих контроллер ASPEED AST2500, но не для контроллеров ASPEED AST2400, хотя они тоже работают с Vertiv Avocent MergePoint EMS.
Стоит отметить, что в конце июня представители Gigabyte анонсировали, что компания прекращает поддержку продуктов с прошивкой Vertiv Avocent MergePoint EMS и переходит на AMI MegaRAC SP-X. Таким образом, клиенты Gigabyte смогут защитить себя, перейдя на AMI MegaRAC SP-X, когда новая прошивка будет доступна.
При этом специалисты Eclypsium предупреждают, что Gigabyte поставляет свои серверные решения сторонним системным интеграторам, которые создают на их базе собственные продукты под своими брендами. В итоге серверные решения Acer, AMAX, Bigtera, Ciara, Penguin Computing и sysGen, так же могут быть уязвимы перед багами в MergePoint EMS из-за использования продукции Gigabyte.