世界中の何万台ものサーバーに、攻撃者が遠隔から乗っ取ることができる脆弱性が存在していると考えられています。
Eclypsium のチームは、USBAnywhere と呼ぶ一連の脆弱性を発見したと述べています。この脆弱性が悪用されると、攻撃者が 3 つの異なるモデルのサーバー ボード (X9、X10、X11) のベースボード管理コントローラ (BMC) を乗っ取ってしまう可能性があります。
BMC は、常時接続でリモートからアクセス可能な「コンピューター内のコンピューター」のような存在として設計されており、管理者はネットワーク経由でサーバーに接続し、OS やファームウェアの更新などの重要なメンテナンス タスクを実行できます。
理想的には、BMCはネットワーク内でロックダウンされ、社外からのアクセスを防止します。大企業の中には、自社のデータセンターやアプリケーションに合わせて最適化された独自のBMCファームウェアを使用するところもあります。
しかし、ごく一部のケースでは、これらのBMCはインターネットに公開されており、Webインターフェース経由で管理できます。通常、セキュリティを考慮して設計されていないため、非常に簡単に管理できます。ここで、Eclypsiumによって発見された脆弱性が問題となります。
攻撃の標的は、SupermicroがBMC管理コンソールに使用している仮想メディアアプリケーションです。このアプリケーションは、管理者がイメージをUSBデバイスとしてリモートマウントすることを可能にします。これはサーバー管理に便利なツールですが、セキュリティ上のリスクも伴います。
「これは、攻撃者がUSBポートに物理的にアクセスした場合と同じ方法でサーバーを攻撃できることを意味する。例えば、新しいオペレーティングシステムイメージをロードしたり、キーボードとマウスを使用してサーバーを変更したり、マルウェアを埋め込んだり、デバイスを完全に無効にしたりすることができる」とエクリプシウムは述べた。
「容易なアクセスと単純な攻撃手段の組み合わせにより、経験の浅い攻撃者でも組織の最も貴重な資産の一部をリモート攻撃できる可能性があります。」チームは、BMCのWeb制御インターフェースの仮想メディアサービス(TCPポート623)に4つの異なる欠陥を発見しました。
これらには、プレーンテキスト認証と認証されていないネットワーク トラフィックの使用、X10 および X11 プラットフォームの弱い暗号化と認証バイパスの脆弱性が含まれており、これにより仮想メディア サービス上の新しいクライアントが古いクライアントの権限で実行できるようになります。
データセンターのサーバーにある小さなバックドアについてお話しいただけますか?
続きを読む
Eclypsiumによると、仮想メディアの脆弱性を攻撃する最も簡単な方法は、デフォルトのログイン情報を持つサーバーを見つけるか、簡単に推測できるログイン情報を使って総当たり攻撃を行うことです。それ以外の場合は、脆弱性を標的に攻撃を行う必要があります。
「BMC の電源が最後にオフになってから有効な管理者が仮想メディアを使用していた場合、認証バイパスの脆弱性により、攻撃者は適切なユーザー名とパスワードがなくても接続できる可能性がある」とレポートは説明している。
BMCは常に利用可能であることが想定されているため、BMCの電源がオフになったりリセットされたりすることは極めて稀です。そのため、サーバーの電源プラグが物理的に抜かれたり、建物の電源が切れたりしない限り、認証バイパスの脆弱性が適用される可能性が高くなります。
さらに悪いことに、Eclypsiumは数万台のサーバーにこの脆弱性が存在し、インターネットに公開されていると考えています。Shodanでポート623を検索すると、世界中に47,339台のBMCが見つかりました。
幸いなことに、修正プログラムが公開されています。EclypsiumはすでにSupermicroに連絡を取り、ベンダーは脆弱性を修正するアップデートをリリースしたと述べています。組織は、サーバーベンダーに連絡し、BMCファームウェアが最新バージョンであることを確認することをお勧めします。®
