您现在的位置是:首页 > 科技 > 正文
Supermicro服务器在互联网上暴露BMC端口
发布时间:2023-12-24 10:55:03来源:
在Supermicro主板上运行的超过47,000个工作站和服务器(可能更多)目前可以受到攻击,因为管理员已经在互联网上暴露了内部组件。
这些系统容易受到名为USBAnywhere的一组新漏洞的影响,这些漏洞会影响Supermicro主板的基板管理控制器(BMC)固件。
补丁可用于修复USBAnywhere漏洞,但Supermicro和安全专家建议限制从互联网访问BMC管理界面,作为预防措施和行业最佳实践。
什么是BMC?
BMC是智能平台管理接口(IPMI)的组成部分。IPMI是通常在企业网络上部署的服务器和工作站上找到的标准和工具集合。IPMI允许系统管理员从较低级别并独立于操作系统的远程位置管理系统。
IPMI工具可以允许远程管理员连接或向PC /服务器发送指令并执行各种操作,例如修改操作系统设置,重新安装操作系统或更新驱动程序。
所有IPMI远程管理解决方案的核心都是基板管理控制器。BMC是嵌入主板的微控制器,它们带有自己的CPU,存储系统和LAN接口,
BMC充当服务器/工作站硬件和远程系统管理员之间的接口。它们是将所有IPMI命令转换为本地硬件指令的组件,因此可以完全控制计算机。
由于它们具有访问权限,因此对BMC接口的访问受到严格限制,并且使用密码进行保护,通常只有公司的系统管理员才能知道。
什么是USBANYWHERE漏洞
但在今天发布的新研究中,来自Eclypsium的安全研究人员表示,他们发现了Supermicro的BMC固件存在漏洞。
这些名为USBAnywhere的漏洞影响了固件的虚拟USB功能,可让系统管理员将USB插入自己的计算机,但将其视为连接到远程管理系统的虚拟USB,将数据从本地USB传输到远程虚拟的。
此功能 - 较大的BMC虚拟媒体服务的一部分 - 是一个小型Java应用程序,通过基于Supermicro的系统附带的标准BMC Web界面提供服务。
Eclypsium研究人员表示他们发现了这个Java应用程序使用的身份验证的四个问题:
●纯文本身份验证 - 虽然Java应用程序使用唯一的会话ID进行身份验证,但该服务还允许客户端使用纯文本用户名和密码。
●未加密的网络流量 - 加密可用,但必须由客户端请求。受影响系统提供的Java应用程序将此加密用于初始身份验证
数据包,但随后将未加密数据包用于所有其他流量。
●弱加密 - 使用加密时,使用编译到BMC固件中的固定密钥使用RC4对有效负载进行加密。所有Supermicro BMC都共享此密钥。RC4有
多个已发布的加密弱点,并且已被禁止在TLS(RFC7465)中使用。
●身份验证绕过(仅限Supermicro X10和X11平台) - 在客户端对虚拟介质服务进行了正确身份验证然后断开连接后,该客户端的某些服务内部状态不完整。由于内部状态链接到客户端的套接字文件描述符编号,因此BMC
操作系统恰好为其分配了相同套接字文件描述符编号的新客户端将继承此内部状态。实际上,即使新客户端尝试使用不正确的凭据进行身份验证,这也允许新客户端继承先前客户端的授权。
SUPERMICRO发布了补丁
Eclypsium向Supermicro报告了所有四个问题,供应商在其网站上发布了Supermicro X9,X10和X11板的补丁。
“我们要感谢已经确定BMC虚拟媒体漏洞的研究人员,”Supermicro发言人上周在一封电子邮件中告诉ZDNet。
该供应商还表示,它与Eclypsium密切合作,以验证修复程序是否按预期工作,现在它们应该可以安全使用。
“主要变化包括使用TLS包装虚拟媒体服务,删除明文身份验证功能,以及修复导致身份验证绕过的错误,”Eclypsium的首席工程师Rick Altherr 在一封电子邮件中告诉ZDNet,有关Supermicro的修复。
最危险的BUG
在四个错误中,第四个是最有可能导致问题的错误。该错误允许恶意黑客发起与BMC Web界面的虚拟媒体服务(Java app)的重复连接,直到它们落在合法管理员使用的同一服务器套接字上。
但是,虽然利用这个漏洞似乎是一个盲目的运气问题,但Altherr并不建议公司抓住机会。
“虽然导致Linux中套接字号重用的确切条件可能很复杂,因此大多是盲目运气,但虚拟媒体服务的单用户使用模式往往会大大增加机会,”他告诉ZDNet。
“在我们的测试中,我们能够在合法用户使用虚拟媒体服务几周后,可靠地利用针对BMC的身份验证绕过。”
发生这种情况时,攻击者可以与BMC进行交互,尽管没有正确的BMC凭据。
虽然模拟USB看起来无害,但Eclypsium研究团队表示,攻击者可以“从恶意USB映像启动计算机,通过USB大容量存储设备泄露数据,或者使用虚拟USB橡皮鸭,快速执行一系列精心设计的击键对BMC,固件或它管理的服务器执行几乎任何其他类型的黑客攻击。“
47,000到55,000个SUPERMICRO BMC在线曝光
这些攻击在进行物理访问时很危险,但是当通过像互联网这样的远程矢量执行时,它们会更加危险。
“通过互联网扫描TCP端口623,显示来自90多个不同国家的47,339个BMC,受影响的虚拟媒体服务可公开访问,”Eclypsium的研究人员说。
这些系统现在面临受到攻击的危险,并可能受到攻击。
攻击者可以在这些系统上植入恶意软件,这些恶意软件可以在操作系统重新安装后生存,甚至可以暂时使用服务器,这种策略可用于破坏竞争对手或从运行具有暴露BMC虚拟媒体端口的系统的组织勒索赎金支付。
在本文发布之前由ZDNet执行的BinaryEdge搜索发现甚至更多的暴露系统 - 超过55,000个Supermicro IPMI接口在线暴露端口623。
绝大多数这些系统都在数据中心和网络托管提供商的网络上,使这些公司及其各自的客户暴露于USBAnywhere攻击。
SUPERMICRO:安装补丁,从互联网上取出BMC
“行业最佳实践是在没有暴露于互联网的孤立的私人网络上运营BMC,这将减少但不能消除已确定的暴露,”Supermicro发言人上周告诉ZDNet。
该公司建议客户安装最新的补丁以完全缓解USBAnywhere攻击向量。
这不是安全专家第一次警告可以从互联网访问BMC / IPMI管理界面。
2013年,学术界发现了可通过互联网访问的三个主要供应商的100,000个支持IPMI的系统。当时,BMC固件保护不是标准,所有这些服务器都有使用恶意版本重置固件的危险。
标签:
猜你喜欢
- Supermicro服务器在互联网上暴露BMC端口
- Roku的新款条形音箱兼作流媒体设备 适用于大多数电视
- Galaxy Note10动手实践:三星落后于竞争对手
- 僵尸网络的创建者承认他创建了DDoS-for-hire服务
- 三星改版的Galaxy Fold将于周五抵达韩国
- 口袋妖怪剑和盾的最新口袋妖怪实际上是一个茶壶
- 美国国家航空航天局的卫星发现了一种神秘的绿光
- 智能锁定公司August正在以一个熟悉的名字进入欧洲
- 研究人员开发了一种操作和重新配置软机器人的方法
- 谷歌 优步工程师被指控窃取自动汽车的商业秘密
- Sebastian Thrun正在推动汽车自我驾驶的未来
- 小米正在为Mi 9基于Android Q的MIUI更新招募测试人员
- OnePlus 7T Pro渲染显示与OnePlus 7 Pro类似的设
- CamScanner应用程序在Android设备上注入了恶意软件
- 摩托罗拉Moto E6 Plus泄漏显示了预算手机的设计。以下是它的
- 在NBN公司计划之后 Telstra宣布降收4亿澳元的收入
- ASX正在试验人工智能和机器学习 但它仍然谨慎让科技在如
- 推出iPhone 11:苹果可以再次制作玻璃和金属板吗
- 一位T-Mobile推销员告诉我 Galaxy Note 10不值得
- Android 10今天推出 Pixel手机获得了第一天的更新
最新文章
- Supermicro服务器在互联网上暴露BMC端口
- Roku的新款条形音箱兼作流媒体设备 适用于大多数电视
- Galaxy Note10动手实践:三星落后于竞争对手
- 僵尸网络的创建者承认他创建了DDoS-for-hire服务
- 三星改版的Galaxy Fold将于周五抵达韩国
- 这可能是地球上最极端的福特金牛座
- 马自达3的后视力不佳使其成为紧凑型两厢车的Camaro
- 以下是您对2021年一级方程式赛车设计的初步了解
- 2020年马自达3获得更多标准装备 价格也略有上涨
- MPV仍然是丰田在新首都的旗舰车型
- 新梅赛德斯 - AMG A45:超级舱口成本为5万英镑
- 法兰克福车展2019预览:期待什么
- 新保时捷Macan:这是Turbo
- 2019年最好的闹钟
- 福特果汁Sync 4包括无线Apple CarPlay,Android Auto
- HBO Max将为HBO和HBO Now订户工作
- Spotify Kids是一款独立的应用程序可确保年轻耳朵的安全
- 小米智能手机五年内在印度销量突破1亿部
- 泄漏的视频中显示了Google Pixel 4 XL白色和黑色的变体
- Vivo S1 6GB + 64GB版本将于9月9日在印度发售
- Acer ConceptD 3和ConceptD 3 Pro的第一印象以实惠的价格提供专业级功能
- 联想推出了Lenovo Yoga C940,Yoga S740,Yoga C740和Yoga C640笔记本电脑
- 猛mm象Tuggerah海滨地带150年来首次出售
- 黄金海岸郊区位居房地产重击者约翰·麦格拉思值得关注的地区之首