ブラックハットデータセンターは、このクラウドの世界では不可欠ですが、あまり理解されていない管理チップにより、システム管理者が想像もしなかった方法でハッカーがサーバーに簡単にアクセスできる可能性があります。
問題となっているコンポーネントは、ベースバンド管理コントローラー(BMC)と呼ばれるものです。Dell、HPE、Lenovoなどの企業がBMCを筐体に搭載することで、データセンター管理者はサーバーファームの冷え切った空間にこもることなくマシンを制御できます。BMCへのアクセスは、専用有線ネットワークからイーサネットLANまで、様々な方法で可能です。
BMCは、システムの温度、電圧、消費電力、オペレーティングシステムの健全性などをリモートで監視し、トラブル発生時に電源を入れ直したり、構成を調整したり、設定によってはOSの再インストールまで行うことができます。これらはすべて、データセンターの中央で故障したサーバーを見つけて物理的に操作する必要がなく、オペレーションセンターから簡単に実行できます。また、BMCはIPMIの基盤も提供します。
「BMCは基本的に機械の中にある機械のようなもので、サーバーがダウンしても電源が供給されている限り、BMCは機能します」と、セキュリティ会社イミュニティの副社長ニコ・ワイズマン氏は、今年のブラックハットUSAハッキングカンファレンスでの木曜日の講演で述べた。
「完全なネットワークスタック、KVM、シリアルコンソール、そして電源管理機能を備えています。いわば完璧なバックドアのようなものです。リモート接続、デバイスの再起動、キーボードとマウスの管理などが可能です。」
これは、OS またはハイパーバイザーの下に常駐し、システムを完全に制御し、長年にわたって何度も悪用されてきたリモート管理コンポーネントである Intel の Active Management Technology と似た状況です。
ワイスマン氏と、イミュニティのシニアセキュリティ研究者である同僚のマティアス・ソラー氏は、これらのBMCシステムを調査した結果、良好な結果が得られなかったと主張した。彼らは入手できた機器に対して1990年代の旧式のハッキング手法も試し、非常に高い確率でハッキングに成功した。例えば、HPのBMCベースのリモート管理技術iLO4では、内蔵Webサーバーを騙してリモート攻撃者がローカルにいると誤認させ、認証を不要にすることが可能だった。
「これらのデバイスを調査することにしたのですが、想像をはるかに超える深刻な状況が判明しました」と2人は述べた。「1990年代を彷彿とさせる脆弱性、100%確実なリモートコード実行、そしてサーバーとBMC間の双方向の移動が可能という、驚くべき横方向の移動手段だけでなく、完璧なバックドアにもなり得る脆弱性です。」
侵入者がデータセンター ネットワークに侵入すると、安全でない BMC ファームウェアが悪用されて事態が危機に陥るおそれがあります。つまり、このテクノロジの脆弱性を悪用して、さらに多くのシステムを乗っ取ったり、再起動や再インストールを行っても存続するマルウェアをインストールしたり、管理者から簡単に隠れたりするおそれがあるのです。
残念ながら、BMCのセキュリティは緩い。これはおそらく、メーカーが、サーバーラックのベースボードコントローラーに侵入者がアクセスすれば、どうせ完全に終わりだと思い込んでいたためだろう。彼らの調査による痛烈な結論は以下の通りだ。
ちなみに、BMCは実に洗練されたハードウェアを採用しています。HPのProLiantサーバーシリーズに組み込まれているIntegrated Lights-Out(iLO)システムを例に挙げましょう。旧バージョンのiLO2は、当時の光学ドライブで人気だったNECのCPUコアを搭載していますが、iLO4はより現代的なArm互換コアを搭載しています。DellのバージョンはIntegrated Dell Remote Access Controller(iDRAC)で、かつて一部のゲーム機で使用されていたSuperHチップの派生版で動作するLinuxを採用しています。
より洗練されたサーバー、巨大なラック、NVMeの侵略: サーバー業界にとって大きな一週間でした
続きを読む
ほとんどのBMCチップは、一般的に人気のAppwebコードをベースにした独自のWebサーバーを動作させています。このサーバーに正しくpingを送信すれば、チップの正確なオペレーティングシステムとハードウェア設定が明らかになることがあります。Waisman氏とSoler氏はまた、Rapid7が公開した、ほとんどのBMCシステムのデフォルトパスワードのリストを発見しました。
二人は入手できたあらゆる機器(主に古い機器)を調べた結果、セキュアコーディングのベストプラクティスに準拠したファームウェアを搭載した最新機器は、セキュリティの面ではるかに優れている可能性があることが判明した。一方で、ワイスマン氏とソラー氏が発見し、文書化した内容は、新しい機器に対する大きな信頼を抱かせるものではない。
完全な調査結果はこちら、スライドはこちらでご覧いただけます。
もちろん、データセンター管理者は愚かではありません。BMCのサービスは通常、ファイアウォールの背後に隠されていたり、ネットワーク上でセグメント化されていたり、専用のシリアル回線経由でのみアクセス可能であったりするため、パブリックインターネットに公開されるべきではありません。しかし、ワイスマン氏とソラー氏は、多くのサービスがWebに公開されていることを発見したと述べています。
結局のところ、IT管理者はBMCサービスへの経路を評価し、インターネットに接続されていないことを確認し、アクセスを強化する必要があります。攻撃者がBMCに永続性を確立したら、彼らのアドバイスに従っていればよかったと後悔することになるでしょう。®
