超微服务器主板软件曝漏洞可导致远程USB劫持

某些 Supermicro 服务器的基板管理控制器 (BMC) 易遭远程越权虚拟 USB 安装攻击。

虽然多数受影响的服务器位于内部网络，但研究人员表示在互联网上找到了4.7万台易受攻击的服务器。

不安全的连接和身份认证

Supermicro X9、X10和 X11 平台的BMC组件虚拟媒体实现中被曝多个问题，它们被统称为 USBAnywhere。

BMC实际上位于所有的服务器主板上而且有可能远程管理一个单元。管理员可使用 BMC 配置服务器或者重装操作系统并更新固件。

这些微小的组件还可使磁盘映像当做虚拟 USB 驱动安装。固件硬件安全公司 Eclypsium 的研究员发现，在某些 Supermicro 平台上，负责执行该动作的虚拟媒体服务在远程连接上是不安全的。

Eclypsium 公司指出，“当远程访问虚拟媒体服务时，它可导致明文形式的认证，发送多数未加密的流量，对余下流量使用弱加密算法并易遭认证绕过。”

攻击者能够利用这些弱点并获得和物理访问 USB 端口同等的目标服务器的远程访问权限。

很明显这种场景意味着服务器可遭完全攻陷，因为基于 USB 的攻击提供了多种可能性：重装操作系统、植入恶意软件或修改服务器配置。

多个弱点

研究人员在研究论文中详述了这些漏洞以及威胁人员如何利用它们。

研究员解释称，可通过发布于 SMC web 接口的 Java 应用程序来访问虚拟媒体服务。这款 app 连接到虚拟媒体服务并监听 BMC 上的 TCP 端口623。该服务使用自定义的基于数据包的格式认证客户端并在客户端和服务器之间移动 USB 数据包。

即使这款 Java应用程序依靠的是唯一的会话 ID 进行认证，但研究人员认为该服务可允许明文形式的凭证。另外，仅对初始的认证数据包流量进行了加密。弱点还包括使用了依靠易受攻击的 RC4流密码和出现在 BMC 固件中的一个密钥的不良加密算法。

另外一个弱点是影响Supermicro X10 和 X11 平台的认证绕过弱点。研究人员表示，当客户端正确地验证虚拟媒体服务并断开连接后，该客户端的服务内部状态仍然未改变，“因为内部状态和客户端的套接字文件描述符编号链接，因此正好被 BMC 操作系统分配了相同套接字文件描述符编号的新的客户端继承了这一内部状态。实际上，它允许新客户端继承之前客户端的授权，几时回这一新的客户端试图以不正确的凭证进行认证也不例外。”

虽然听起来很危险，但好在由于 BMC 操作系统执行该分配，因此攻击者不可能控制它。尽管如此，如果攻击者具有足够的持久性，那么从理论上来讲，就能够被分配给此前经认证的用户的套接字文件描述符编号。

尽管如此，企业应当应用Supermicro 已修复的 X9、X10 和 X11 平台最新固件。

研究人员表示，从Shodan 扫描端口623发现了“来自90个国家的47,339个 BMC，它们的虚拟媒体服务可遭公开访问。”搜索暴露端口623的所有设备后发现，可从互联网访问超过9.5万台设备，其中三分之一的设备来自美国。不过并非所有的设备均易受攻击。

完整论文可参见：https://eclypsium.com/2019/09/03/usbanywhere-bmc-vulnerability-opens-servers-to-remote-attack/

原文链接

https://www.bleepingcomputer.com/news/security/usbanywhere-bugs-in-supermicro-servers-allow-remote-usb-access/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。