Interviews Brawte nfaq 0 Comments

汚いDRAC:IT担当者がDellサーバのファームウェアのセキュリティミスを発見

Table of Contents

汚いDRAC:IT担当者がDellサーバのファームウェアのセキュリティミスを発見

2 人の IT プロフェッショナルが、古い Dell サーバーのハードウェア管理ツールに潜在的に重大な欠陥があることを発見しました。

結局のところ、悪意のあるシステム管理者、ネットワークアクセスを取得した人物、あるいはサプライチェーン上の悪意ある人物が、脆弱なPowerEdgeマザーボードコントローラを悪意のあるコードで再プログラムすることが可能です。このマルウェアは、オペレーティングシステムの再インストール、ハードディスクの消去と交換、マザーボードBIOSの書き換えなどにも耐えることができます。事実上検知不可能であり、侵入したマシン上で発生するあらゆる動作を盗聴し、改ざんすることが可能です。

これを悪用するには、攻撃者は強い意志を持ち、データセンター管理者として社内で、あるいは現場や工場から顧客への輸送中にハードウェアに物理的にアクセスすることで、特別なアクセス権を持っている必要があります。したがって、これは世界を破滅させるほどのバグではありません。しかし、特に重要な企業秘密を扱っている場合は、少なくとも考慮すべき点です。

詳細は次のとおりです。Jon Sands 氏と Adam Nielsen 氏が、Dell の iDRAC サービスに関係するため iDRACula と呼ばれるバグを発見し、Serve The Home 経由で報告しました。iDRAC は、実行中のハイパーバイザー、オペレーティング システム、アプリケーションとは無関係に、PowerEdge システム内のベースバンド管理コントローラ (BMC) 上で実行されるソフトウェアです。

ハードウェアを完全に制御できます。管理者はネットワーク経由でサーバーのiDRACに接続し、問題を診断・修復できます。例えば、システムの場所を特定し、取り外し、修理、ラックへの取り付けを手作業で行うよりも、Webブラウザを起動してリモートでボックスの電源を入れ直したり、OSを再インストールしたりする方がはるかに簡単です。

この脆弱性は、第12世代および第13世代のDell EMC PowerEdgeに存在すると言われています。最新の第14世代以降のマシンは、BMCプロセッサにルート・オブ・トラスト(信頼の基点)が導入されているため、Dellが承認したコードのみがコントローラ上で実行され、ハッカーによって注入されたジャンクコードは実行されないため、脆弱性は存在しません。

サーバールームに二人の幹部。いつかこんなことがあったんだろうな(笑)。写真はShutterstock

データセンターのサーバーにある小さなバックドアについてお話しいただけますか?

続きを読む

基本的に、脆弱なボックスでは、攻撃者はiDRACファームウェアをバージョン8から既知の脆弱性を持つ古いバージョンにダウングレードし、これを悪用してBMC上で動作するLinuxの小さなインスタンスへのルートアクセスを取得することができます。これを利用して、必要なマルウェアをiDRACファームウェアストレージに密かに持ち込むことができます。その後、ハッカーはスパイウェアをそのままに、ソフトウェアを以前のバージョンにアップグレードすることができます。システム管理者にとって、ボックスは正常に動作しているように見え、BMC上で不正なコードが実行されている兆候は見られません。

つまり、脆弱性のある既知のバージョンにファームウェアをダウングレードしたり、改変されたファームウェアをインストールしたりする行為を阻止する手段は何もないということです。リモートで実行できない場合、物理的に実行することも可能です。つまり、iDRACのカバーを開け、ファームウェアのストレージチップを任意のコードで書き換えるのです。BMCプロセッサは、iDRACコードが完全に合法で改ざんされていないかどうかを確認しません。第14世代以降のiDRACバージョン9では、不正なコードが実行されないようにルート・オブ・トラストが使用されています。これは、Dellによるデジタル署名がないため、不正なコードが実行されないようにするためです。

さあ皆さん、努力してください

デルは、これを実際に悪用するのは困難であると強調した。

「Dell EMC iDRACの潜在的な脆弱性について、当該個人から報告を受けました」とデルの広報担当者は今週、El Regに語った。

彼はiDRACの管理者権限を使用してリモートからアクセスし、既知の脆弱性を持つ古いファームウェアバージョンをダウンロードし、ルートユーザーアクセスを作成しました。この既知の脆弱性は、その後のファームウェアリリースで既に修正されています。2つ目の潜在的な脆弱性は、短絡ジャンパーケーブルによる直接的な物理的アクセスによるものでした。

これらの潜在的な脆弱性を悪用するには、物理​​的なアクセスまたは有効な管理者権限が必要です。また、これらの脆弱性は、2017年半ばに提供開始されたDell EMCの最新製品であるDell EMC iDRAC9および第14世代PowerEdgeサーバーには適用されません。お客様においては、常に最新のiDRACファームウェアを維持し、ファイアウォールなどの技術を用いて管理ネットワークを分離し、アクセスを承認されたサーバー管理者のみに制限することを推奨しています。

この報告書は、物理アクセスに関しても興味深い点を指摘しています。外部の攻撃者がサーバールームに侵入してマシンを改ざんするのは困難ですが、社内の悪意ある人物やサプライチェーン・流通チェーンの怪しい人物であれば、ファームウェアを書き換えてマシンを密かに監視する機会を見つける可能性があります。

サーバーBMCのセキュリティが疑問視されるのは今回が初めてではありません。先月、研究者らはSupermicroサーバーで使用されているBMCハードウェアに同様の脆弱性を発見し、同社はアップデートをリリースしました。®

Interviews

Smart Recommendations

Discover More