研究者らは、Supermicro サーバーで使用されるベースボード管理コントローラ (BMC) ハードウェアに悪用可能な欠陥を発見したと主張している。
セキュリティ企業のEclypsiumは本日、BMCのファームウェアをアップデートするメカニズムの脆弱性が攻撃者に悪用され、削除が極めて困難な悪意のあるコードをインストール・実行される可能性があると発表した。
BMCは通常、サーバーのマザーボードに直接インストールされ、ホストOSやゲストOSに依存せずに、サーバーの様々なハードウェアコンポーネントを直接制御・管理できます。また、システムソフトウェアの修復、変更、再インストールも可能で、管理者はネットワークまたは専用チャネルを介してリモートで制御できます。BMCにより、ITスタッフは遠隔地からサーバー機器の管理、設定、電源のオン/オフを行うことができるため、倉庫に保管されている機器を管理する人にとって便利です。
BMC は非常に低レベルで動作するため、ハッカーにとっても格好の標的となります。
Eclypsiumによると、今回のケースでは、Supermicro製BMCのファームウェアアップデートコードは、ダウンロードされたアップグレードが製造元から発行されたものかどうかを暗号的に検証しないため、改ざんに対して脆弱であるとのことです。このバグを悪用されると、OSレベルのウイルス対策ツールや再インストールを回避できるコードが実行される可能性があります。
これを実行するには、データセンターネットワークに既に侵入している、あるいはコントローラーにアクセスできる攻撃者が、ファームウェアのダウンロードを傍受し、改ざんしてハードウェアに渡し、それを盲目的にインストールさせる必要があります。あるいは、組織に流入するインターネットトラフィックを盗聴して改ざんできる悪意のある人物が、ITチームのBMCファームウェアのダウンロードを改ざんし、コントローラーに受け入れさせることも可能でしょう。
「ファームウェア更新の処理と適用を担当する BMC コードが、更新を受け入れて不揮発性ストレージにコミットする前に、提供されたファームウェア イメージに対して暗号署名の検証を実行していないことが判明しました」と Eclypsium は述べています。
「これにより、攻撃者は事実上、改変したコードを BMC にロードできるようになります。」
データセンターのサーバーにある小さなバックドアについてお話しいただけますか?
続きを読む
研究者らは、この脆弱性はOSレベルの下位でマルウェアコードを実行するだけでなく、BMCやサーバー全体を永久にブロックすることも可能だと述べている。さらに悪いことに、潜在的な攻撃には必ずしもサーバー自体への物理的なアクセスは必要ない。
「IPMI通信はBMC LANインターフェースを介して実行できるため、攻撃者がBMCの管理者パスワードを取得できた場合、この更新メカニズムをリモートで悪用される可能性もあります」とEclypsiumは警告した。
「これにはシステム管理ネットワークへのアクセスが必要ですが、これは本番環境ネットワークから分離・保護されている必要があります。しかし、管理ネットワークとインターフェースへの暗黙の信頼は、セキュリティに対する誤った認識を生み出し、普段は注意深い管理者が利便性のためにパスワードを使い回してしまうことにつながる可能性があります。」
幸いなことに、Eclypsium社は既にこのバグをSupermicro社に報告しており、Supermicro社はファームウェア更新ツールに署名検証機能を追加することでこの脆弱性を効果的に修正しました。管理者の皆様には、修正プログラムを適用してもらうためにSupermicro社のセキュリティ担当者にご連絡いただくようお願いいたします。®
