Supermicro服务器在互联网上暴露BMC端口

在Supermicro主板上运行的超过47,000个工作站和服务器(可能更多)目前可以受到攻击，因为管理员已经在互联网上暴露了内部组件。

这些系统容易受到名为USBAnywhere的一组新漏洞的影响，这些漏洞会影响Supermicro主板的基板管理控制器(BMC)固件。

补丁可用于修复USBAnywhere漏洞，但Supermicro和安全专家建议限制从互联网访问BMC管理界面，作为预防措施和行业最佳实践。

什么是BMC?

BMC是智能平台管理接口(IPMI)的组成部分。IPMI是通常在企业网络上部署的服务器和工作站上找到的标准和工具集合。IPMI允许系统管理员从较低级别并独立于操作系统的远程位置管理系统。

IPMI工具可以允许远程管理员连接或向PC /服务器发送指令并执行各种操作，例如修改操作系统设置，重新安装操作系统或更新驱动程序。

所有IPMI远程管理解决方案的核心都是基板管理控制器。BMC是嵌入主板的微控制器，它们带有自己的CPU，存储系统和LAN接口，

BMC充当服务器/工作站硬件和远程系统管理员之间的接口。它们是将所有IPMI命令转换为本地硬件指令的组件，因此可以完全控制计算机。

由于它们具有访问权限，因此对BMC接口的访问受到严格限制，并且使用密码进行保护，通常只有公司的系统管理员才能知道。

什么是USBANYWHERE漏洞

但在今天发布的新研究中，来自Eclypsium的安全研究人员表示，他们发现了Supermicro的BMC固件存在漏洞。

这些名为USBAnywhere的漏洞影响了固件的虚拟USB功能，可让系统管理员将USB插入自己的计算机，但将其视为连接到远程管理系统的虚拟USB，将数据从本地USB传输到远程虚拟的。

此功能 - 较大的BMC虚拟媒体服务的一部分 - 是一个小型Java应用程序，通过基于Supermicro的系统附带的标准BMC Web界面提供服务。

Eclypsium研究人员表示他们发现了这个Java应用程序使用的身份验证的四个问题：

●纯文本身份验证 - 虽然Java应用程序使用唯一的会话ID进行身份验证，但该服务还允许客户端使用纯文本用户名和密码。

●未加密的网络流量 - 加密可用，但必须由客户端请求。受影响系统提供的Java应用程序将此加密用于初始身份验证

数据包，但随后将未加密数据包用于所有其他流量。

●弱加密 - 使用加密时，使用编译到BMC固件中的固定密钥使用RC4对有效负载进行加密。所有Supermicro BMC都共享此密钥。RC4有

多个已发布的加密弱点，并且已被禁止在TLS(RFC7465)中使用。

●身份验证绕过(仅限Supermicro X10和X11平台) - 在客户端对虚拟介质服务进行了正确身份验证然后断开连接后，该客户端的某些服务内部状态不完整。由于内部状态链接到客户端的套接字文件描述符编号，因此BMC

操作系统恰好为其分配了相同套接字文件描述符编号的新客户端将继承此内部状态。实际上，即使新客户端尝试使用不正确的凭据进行身份验证，这也允许新客户端继承先前客户端的授权。

SUPERMICRO发布了补丁

Eclypsium向Supermicro报告了所有四个问题，供应商在其网站上发布了Supermicro X9，X10和X11板的补丁。

“我们要感谢已经确定BMC虚拟媒体漏洞的研究人员，”Supermicro发言人上周在一封电子邮件中告诉ZDNet。

该供应商还表示，它与Eclypsium密切合作，以验证修复程序是否按预期工作，现在它们应该可以安全使用。

“主要变化包括使用TLS包装虚拟媒体服务，删除明文身份验证功能，以及修复导致身份验证绕过的错误，”Eclypsium的首席工程师Rick Altherr 在一封电子邮件中告诉ZDNet，有关Supermicro的修复。

最危险的BUG

在四个错误中，第四个是最有可能导致问题的错误。该错误允许恶意黑客发起与BMC Web界面的虚拟媒体服务(Java app)的重复连接，直到它们落在合法管理员使用的同一服务器套接字上。

但是，虽然利用这个漏洞似乎是一个盲目的运气问题，但Altherr并不建议公司抓住机会。

“虽然导致Linux中套接字号重用的确切条件可能很复杂，因此大多是盲目运气，但虚拟媒体服务的单用户使用模式往往会大大增加机会，”他告诉ZDNet。

“在我们的测试中，我们能够在合法用户使用虚拟媒体服务几周后，可靠地利用针对BMC的身份验证绕过。”

发生这种情况时，攻击者可以与BMC进行交互，尽管没有正确的BMC凭据。

虽然模拟USB看起来无害，但Eclypsium研究团队表示，攻击者可以“从恶意USB映像启动计算机，通过USB大容量存储设备泄露数据，或者使用虚拟USB橡皮鸭，快速执行一系列精心设计的击键对BMC，固件或它管理的服务器执行几乎任何其他类型的黑客攻击。“

47,000到55,000个SUPERMICRO BMC在线曝光

这些攻击在进行物理访问时很危险，但是当通过像互联网这样的远程矢量执行时，它们会更加危险。

“通过互联网扫描TCP端口623，显示来自90多个不同国家的47,339个BMC，受影响的虚拟媒体服务可公开访问，”Eclypsium的研究人员说。

这些系统现在面临受到攻击的危险，并可能受到攻击。

攻击者可以在这些系统上植入恶意软件，这些恶意软件可以在操作系统重新安装后生存，甚至可以暂时使用服务器，这种策略可用于破坏竞争对手或从运行具有暴露BMC虚拟媒体端口的系统的组织勒索赎金支付。

在本文发布之前由ZDNet执行的BinaryEdge搜索发现甚至更多的暴露系统 - 超过55,000个Supermicro IPMI接口在线暴露端口623。

绝大多数这些系统都在数据中心和网络托管提供商的网络上，使这些公司及其各自的客户暴露于USBAnywhere攻击。

SUPERMICRO：安装补丁，从互联网上取出BMC

“行业最佳实践是在没有暴露于互联网的孤立的私人网络上运营BMC，这将减少但不能消除已确定的暴露，”Supermicro发言人上周告诉ZDNet。

该公司建议客户安装最新的补丁以完全缓解USBAnywhere攻击向量。

这不是安全专家第一次警告可以从互联网访问BMC / IPMI管理界面。

2013年，学术界发现了可通过互联网访问的三个主要供应商的100,000个支持IPMI的系统。当时，BMC固件保护不是标准，所有这些服务器都有使用恶意版本重置固件的危险。