Los servidores empresariales que funcionan con placas base Supermicro pueden verse comprometidos de forma remota al conectar virtualmente dispositivos USB maliciosos, dijeron investigadores de ciberseguridad de la compañía de seguridad de firmware Eclypsium a The Hacker News.
Si eso es correcto, puede lanzarse todo tipo de ataques USB contra servidores vulnerables de Supermicro sin acceder físicamente a ellos o esperar a que su víctima recoja una unidad USB desconocida y no confiable y la conecte a su computadora.
Apodado colectivamente " USBAnywhere " , el ataque aprovecha varias vulnerabilidades recientemente descubiertas en el firmware de los controladores BMC que podrían permitir que un atacante remoto no autorizado se conecte a un servidor Supermicro y virtualmente monte dispositivos USB maliciosos.
Viene integrado con la mayoría de los conjuntos de chips de servidor, un controlador de administración de placa base (BMC) es un chip de hardware en el núcleo de las utilidades de la Interfaz de administración de plataforma inteligente (IPMI) que permite a los administradores de sistemas controlar y monitorear remotamente un servidor sin tener que acceder al sistema operativo o aplicaciones que se ejecutan en él.
En otras palabras, BMC es un sistema de administración fuera de banda que permite a los administradores reiniciar de forma remota un dispositivo, analizar registros, instalar un sistema operativo y actualizar el firmware, lo que lo convierte en uno de los componentes más privilegiados en la tecnología empresarial actual.
Una de esas capacidades de BMC incluye el montaje de medios virtuales para conectar una imagen de disco como un CD-ROM USB virtual o unidad de disquete con un servidor remoto.
Según un informe publicado por Eclypsium antes de la publicación, los BMC en las plataformas Supermicro X9, X10 y X11 utilizan una implementación insegura para autenticar al cliente y transportar paquetes USB entre el cliente y el servidor.
Estas debilidades, enumeradas a continuación, pueden ser explotadas fácilmente por un atacante remoto para evitar el proceso de autenticación a través del servicio de medios virtuales que escucha en el puerto TCP 623 o interceptar el tráfico para recuperar credenciales de BMC débilmente encriptadas o credenciales totalmente sin encriptar.
- Autenticación de texto sin formato
- Tráfico de red sin cifrar
- Cifrado débil
- Bypass de autenticación (solo plataformas X10 y X11)
"Cuando se accede de forma remota, el servicio de medios virtuales permite la autenticación de texto sin formato, envía la mayor parte del tráfico sin cifrar, utiliza un algoritmo de cifrado débil para el resto y es susceptible a una omisión de autenticación", explican los investigadores .
"Estos problemas permiten que un atacante obtenga fácilmente acceso a un servidor, ya sea capturando el paquete de autenticación de un usuario legítimo, utilizando credenciales predeterminadas y, en algunos casos, sin ninguna credencial".
Una vez conectado, el comprometido servicio de medios virtuales permite a los atacantes interactuar con el sistema host como un dispositivo USB sin procesar, lo que les permite realizar todo lo que se puede hacer con acceso físico a un puerto USB, incluyendo:
- exfiltración de datos,
- implante de malware,
- arranque desde imágenes de sistema operativo no confiables,
- manipulación directa del sistema a través de un teclado y mouse virtuales, y
- deshabilitar el dispositivo por completo.
Según los investigadores, un escaneo del puerto TCP 623 a través de Internet reveló más de 47,000 BMC de más de 90 países diferentes con el servicio de medios virtuales de firmware BMC afectado de acceso público.
Además de explotar los BMC donde los servicios de medios virtuales están expuestos directamente en Internet, estos defectos también pueden ser explotados por un atacante con acceso a una red corporativa cerrada o atacantes intermedios dentro de las redes del lado del cliente.
Los investigadores informaron sus hallazgos a Supermicro en junio y julio de este año. La compañía reconoció los problemas en agosto y lanzó públicamente una actualización de firmware para sus plataformas X9, X10 y X11 antes del 3 de septiembre.
Por lo tanto, se alienta a las organizaciones a actualizar su firmware BMC lo antes posible. Además, es importante asegurarse de que los BMC nunca se expongan directamente a Internet, ya que la exposición directa a Internet aumenta en gran medida la probabilidad de tales ataques.
