.
Dois anos atrás, criminosos de ransomware violaram a fabricante de hardware Gigabyte e despejaram mais de 112 gigabytes de dados que incluíam informações de alguns de seus parceiros mais importantes da cadeia de suprimentos, incluindo Intel e AMD. Agora, os pesquisadores estão alertando que as informações vazadas revelaram o que pode significar vulnerabilidades críticas de dia zero que podem colocar em risco grandes áreas do mundo da computação.
As vulnerabilidades residem no firmware que a AMI baseada em Duluth, na Geórgia, cria para BMCs (controladores de gerenciamento de placa base). Esses minúsculos computadores soldados na placa-mãe dos servidores permitem que os centros de nuvem e, às vezes, seus clientes agilizem o gerenciamento remoto de vastas frotas de computadores. Eles permitem aos administradores reinstalar sistemas operacionais remotamente, instalar e desinstalar aplicativos e controlar praticamente todos os outros aspectos do sistema, mesmo quando ele está desligado. Os BMCs fornecem o que é conhecido na indústria como gerenciamento de sistema “sem luz”.
Luzes apagadas para sempre
Pesquisadores da empresa de segurança Eclypsium analisaram o vazamento de firmware da AMI no ataque de ransomware de 2021 e identificaram vulnerabilidades que espreitavam há anos. Eles podem ser explorados por qualquer invasor local ou remoto com acesso a uma interface de gerenciamento remoto padrão do setor conhecida como Redfish para executar código malicioso que será executado em todos os servidores dentro de um data center.
Até que as vulnerabilidades sejam corrigidas usando uma AMI de atualização publicada na quinta-feira, elas fornecem um meio para hackers mal-intencionados – com motivação financeira ou patrocinados pelo estado – obter o status de superusuário dentro de alguns dos ambientes de nuvem mais sensíveis do mundo. A partir daí, os invasores podem instalar ransomware e malware de espionagem que são executados em alguns dos níveis mais baixos dentro das máquinas infectadas. Os invasores bem-sucedidos também podem causar danos físicos aos servidores ou loops de reinicialização indefinidos que uma organização vítima não pode interromper. Eclypsium alertou que tais eventos podem levar a cenários de “luzes apagadas para sempre”.
Em um post publicado na quinta-feira, os pesquisadores do Eclypsium escreveram:
Essas vulnerabilidades variam em gravidade de Alto a CríticoIncluindo execução de código remoto não autenticado e acesso não autorizado ao dispositivo com permissões de superusuário. Eles podem ser explorados por invasores remotos com acesso às interfaces de gerenciamento remoto do Redfish ou de um sistema operacional de host comprometido. O Redfish é o sucessor do IPMI tradicional e fornece um padrão de API para o gerenciamento da infraestrutura de um servidor e outras infraestruturas que suportam centros de dados modernos. O Redfish é suportado por praticamente todos os principais fornecedores de servidores e infraestrutura, bem como pelo projeto de firmware OpenBMC frequentemente usado em ambientes modernos de hiperescala.
Essas vulnerabilidades representam um grande risco para a cadeia de fornecimento de tecnologia subjacente à computação em nuvem. Em suma, as vulnerabilidades em um fornecedor de componentes afetam muitos fornecedores de hardware, que por sua vez podem ser repassados para muitos serviços em nuvem. Como tal, essas vulnerabilidades podem representar um risco para os servidores e hardware que uma organização possui diretamente, bem como o hardware que suporta os serviços de nuvem que eles usam. Eles também podem impactar fornecedores upstream para organizações e devem ser discutidos com terceiros importantes como parte da devida diligência geral de gerenciamento de riscos da cadeia de suprimentos.
Os BMCs são projetados para fornecer aos administradores controle quase total e remoto sobre os servidores que eles gerenciam. A AMI é uma fornecedora líder de BMCs e firmware BMC para uma ampla gama de fornecedores de hardware e provedores de serviços em nuvem. Como resultado, essas vulnerabilidades afetam um número muito grande de dispositivos e podem permitir que invasores obtenham o controle ou causem danos não apenas aos dispositivos, mas também aos data centers e à infraestrutura de serviços em nuvem. As mesmas falhas lógicas podem afetar os dispositivos em data centers alternativos em diferentes regiões geográficas que fazem parte do mesmo provedor de serviços e podem desafiar as suposições que os provedores de nuvem (e seus clientes) costumam fazer no contexto do gerenciamento de riscos e continuidade das operações.
Os pesquisadores observaram que, se pudessem localizar as vulnerabilidades e escrever exploits depois de analisar o código-fonte disponível publicamente, nada impediria que agentes mal-intencionados fizessem o mesmo. E mesmo sem acesso ao código-fonte, as vulnerabilidades ainda podem ser identificadas pela descompilação das imagens do firmware BMC. Não há indicação de que partes maliciosas o tenham feito, mas também não há como saber que não.
Os pesquisadores notificaram em particular a AMI sobre as vulnerabilidades, e a empresa criou patches de firmware, que estão disponíveis para os clientes por meio de uma página de suporte restrita. A AMI também publicou um comunicado aqui.
As vulnerabilidades são:
- CVE-2023-34329, um desvio de autenticação por meio de cabeçalhos HTTP com classificação de gravidade de 9,9 em 10 e
- CVE-2023-34330, injeção de código via Dynamic Redfish Extension. Sua classificação de gravidade é de 8,2.
.
