更新: Lenovo が製造したサーバー、および Gigabyte サーバー マザーボードを使用している Acer と Penguin Computing ボックスで使用されている BMC ファームウェアの 2 つの脆弱性を悪用すると、オペレーティング システム、ハイパーバイザー、およびウイルス対策の奥深くにマルウェアが隠れる可能性があります。
スパイウェアは、OS、セキュリティツール、管理者、およびユーザーには見えず検出されずに潜伏し、マシン上のソフトウェアやデータを盗み見て改ざんする可能性があり、マザーボードのフラッシュチップに常駐して、消去やストレージドライブの交換後も存続する可能性があります。
米国に拠点を置くエクリプシウムの研究者らは火曜日、この欠陥について詳細を説明した。管理者の認証情報を持つ悪意のあるログインユーザーやマルウェアがこの欠陥を悪用し、システムのファームウェアに監視ソフトウェアを挿入する可能性があるという。
明らかに、誰かまたは何かひどい人があなたのサーバー キットに管理者またはルート レベルのアクセス権を持っている場合、それはすでにゲームオーバーです。ただし、それはここでのポイントではありません。これらのバグは、すでにあなたのキットを所有している誰かによって悪用され、より深く埋め込まれ、検出を回避し、再起動やドライブの消去を回避して存続する可能性があります。
Eclypsium の説明によると、脆弱性は具体的には Vertiv の MergePoint EMS ベースボード管理コントローラ (BMC) ファームウェアに存在するとのことです。このファームウェアは、Lenovo のサーバー製品での使用を目的として Lenovo に販売されており、また Gigabyte のサーバー製品での使用を目的として Acer、Ciara、Penguin Computing、sysGen、Bigtera、AMAX に販売されているマザーボードにも使用されています。
これらの脆弱性は、Eclypsium社によってVertiv社のコードに発見され、2018年7月にLenovo社に報告され、同年11月に初めて修正されました。今年3月には、Gigabyte社製サーバーマザーボードのBMCファームウェアにも同様の脆弱性が発見され、4月にはVertiv社(旧Avocent社)にまで遡って調査が行われました。ベンダー各社がコーディング上の欠陥を修正する十分な時間を得たため、Eclypsium社は情報を公開しました。
OpenBMCのBMCは「Burglarize My Computer(コンピュータを盗む)」の略である。厄介なセキュリティ欠陥のせいで
続きを読む
BMCチップは、いわばサーバーのスーパー管理人のようなもので、独自のルールを持っています。メインプロセッサや周辺機器とは独立して配置されていますが、ハードウェアへのフルアクセスが可能で、内蔵CPUコア上でVertivなどの独自のファームウェアを実行します。通常、データセンター管理者はネットワーク経由または固定シリアルケーブル経由でBMCにアクセスし、リモートでマシンを監視、管理、再起動します。ノードのオペレーティングシステムの再インストールや修復も指示できます。多数のマシンを管理する必要がある場合、BMCチップは非常に便利です。各マシンを物理的に1台ずつ確認する手間が省けるからです。
Eclypsiumのチームは、VertivのMergePoint EMSテクノロジーに2つの問題を発見しました。1つは、ファームウェアアップデートがBMCフラッシュストレージにインストールされる前に、暗号署名チェックが行われていないことです。つまり、権限を持つマルウェアやユーザーによって、承認されていないアップデートや改ざんされたファームウェアがボードにフラッシュされる可能性があります。攻撃者は悪意のあるBMCファームウェアをインストールすることで、感染したマシンを永続的に完全に制御したり、BMCを壊滅させたりする可能性があります。
2つ目に、Vertivのファームウェアには、CVE-2018-9086と呼ばれるシェルコマンドインジェクションの脆弱性が存在します。最初の脆弱性を利用して悪意のあるBMCファームウェアイメージを作成し、インストールするのをためらうとしても、CVE-2018-9086を利用することで、BMC上で稼働しているLinux環境の更新メカニズムを介してシェルコマンドを直接注入し、ソフトウェアやスクリプトを改変することが可能になります。
「BMCファームウェアへの悪意ある変更は、攻撃者がシステム内での持続性を維持し、オペレーティングシステムの再インストールなどの一般的なインシデント対応手順を回避するために使用する可能性がある」とEclypsiumは指摘した。
さらに、攻撃者は BMC 内の環境を変更して、ソフトウェア メカニズムによるファームウェアのさらなる更新を阻止できるため、攻撃者はソフトウェア手段を通じて BMC を「ブリック」(永久に無効にする) できるようになります。
この暴露に対する反応は様々だ。
Lenovoによると、コマンドインジェクションの脆弱性はThinkServerの5シリーズ(RD340、RD440、RD540、RD640、TD340)に存在するとのことです。RD540を除くすべてのシリーズに対する修正プログラムは11月にリリースされており、RD540は今年4月にパッチが適用されています。したがって、Lenovoのサーバーシリーズをご利用で、システムファームウェアが最新であれば、問題はないはずです。そうでない場合は、CVE-2018-9086の影響を受けていないかを確認し、可能であれば必要に応じてアップデートをインストールしてください。
留意すべき点は、Lenovo のサーバーの 2014 年型 BMC は設計上、暗号化ファームウェア検証を実行できないため、この問題はそのハードウェアでは修正されないままとなることです。ただし、Lenovo の System x および ThinkSystem サーバーの以降の世代では、ファームウェア署名チェックを実行できます。
Gigabyteは、2019年5月に、VertivベースのAST 2500 BMC(サーバー用マザーボード)に存在したコマンドインジェクション脆弱性に対する修正プログラムをひっそりとリリースしたようです。ファームウェアイメージの暗号チェックが実装されたかどうかについては、まだ発表されていません。GigabyteのAST 2400も未修正のままだと聞いています。サーバー群にGigabyte製マザーボードをご使用で、これらの脆弱性が心配な場合は、BMCの状態を確認してください。
一方、オハイオ州に拠点を置くVertiv社は、自社のコードが安全でないことを警告する試みに対し、反応を示していない。Gigabyte社にもコメントを求めたが、回答は得られなかった。®
追加更新
「OEMコミュニティへのBMCファームウェアの大手プロバイダーとして、アボセントは、業界で一般的になる以前から、2012年という早い時期に主要顧客と協力し、更新されるソフトウェアまたはファームウェアが信頼できるソースからのものであることを暗号化して検証していました」と、Vertivの広報担当者はThe Registerに語った。
2014年、アボセントはMergePoint EMS BMCファームウェアプラットフォームの機能アップグレードをリリースしました。これには検証署名機能も含まれていました。昨年、コマンドラインに関する懸念事項が報告され、迅速にパッチを開発し、お客様向けにリリースしました。
これに関連する問題は認識していません。また、研究者が特定した問題は、ネットワークやシステムへの侵入に利用された可能性がないことを指摘しておくことが重要です。システムへのアクセス権を持つ者のみが悪用できる可能性があります。
このような問題を指摘してくださった研究者の方々に感謝いたします。これは当社の製品強化に役立ち、また、すべての消費者と企業の皆様に、システムを最新の状態に保つためにソフトウェアのアップデートとパッチを定期的にインストールするよう改めてお知らせする機会となります。
