The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Манипуляции с BMC позволяют контролировать серверы IBM Cloud после смены арендатора

27.02.2019 22:38

В серверах IBM Cloud выявлена проблема с безопасностью, позволяющая злоумышленнику заменить прошивку BMC-контроллера (Baseboard Management Controller). В контексте предоставления серверов IBM Cloud во временную аренду злоумышленник может оставить бэкдор или закладку в прошивке BMC и сохранить контроль за сервером после его освобождения, очистки и смены арендатора.

Услуга "IBM Cloud Bare Metal" подразумевает предоставление в краткосрочную аренду полноценных серверов с полным доступом к аппаратному обеспечению. Поддерживается как почасовая, так и помесячная аренда. Т.е. атакующий может арендовать сервер на час, заменить прошивку BMC и получить доступ к системам последующих арендаторов. Возможность атаки продемонстрирована на используемых в IBM Cloud серверах IBM SoftLayer, построенных на основе плат Supermicro. Утверждается, что выявленная проблема с сохранением доступа через модификацию прошивок не специфична для IBM Cloud и также может проявляться в других аналогичных облачных сервисах.

Для программной смены прошивки в BMC на платформе Supermicro использовалась особенность данных плат, из-за которой перед установкой новой прошивки не применялась проверка целостности образа прошивки по цифровой подписи. Кроме того, для замены прошивки могли быть использованы известные уязвимости, позволяющие запустить код в контексте BMC или установить обновление прошивки в обход проверки цифровой подписи производителя.

Более того, в процессе экспериментальной атаки выяснилось, что можно обойтись и без смены прошивки, так как после смены арендатора не очищались логи BMC и сохранялся прежний пароль доступа к BMC-интерфейсу. Для блокирования проблемы компания IBM ввела в практику не только очистку дисков перед передачей сервера новому арендатору, но и перезаливку прошивки BMC, очистку всех логов и генерацию индивидуального пароля доступа к BMC для каждого клиента.

Напомним, что BMC представляет собой устанавливаемый в серверах специализированный контроллер, имеющий свой CPU, память, хранилище и интерфейсы опроса датчиков, который предоставляет низкоуровневый интерфейс для мониторинга и управления серверным оборудованием. При помощи BMC независимо от работающей на сервере операционной системы можно отслеживать состояние датчиков, управлять питанием, прошивками и дисками, организовать удалённую загрузку по сети, обеспечить работу консоли удалённого доступа и т.п.

  1. Главная ссылка к новости (https://eclypsium.com/2019/01/...)
  2. OpenNews: Противоречивые сведения о выявлении шпионского чипа на платах Supermicro
  3. OpenNews: Серия уязвимостей в BMC-контроллерах серверов Huawei
  4. OpenNews: OpenBMC, стек для создания BMC-прошивок, перешёл под крыло Linux Foundation
  5. OpenNews: Семь уязвимостей в IPMI-прошивках Supermicro
  6. OpenNews: Уязвимость в BMC-контроллере Supermicro позволяет получить доступ к паролям управляющего интерфейса
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bmc, ibm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 23:10, 27/02/2019 [ответить] [показать ветку] [···]     [к модератору]
  • –1 +/
    Прошивку же они могут только личным присутствием залить, я так понимаю Потому ч... весь текст скрыт [показать]
     
     
  • 2.5, Аноним (5), 23:28, 27/02/2019 [^] [ответить]    [к модератору]  
  • +6 +/
    > Прошивку же они могут только личным присутствием залить, я так понимаю.

    Нет, можно программно перезаливать прошивку из основной системы. По идее должна цифровая подпись проверяться, но оказалось, что проверка не работала.

     
     
  • 3.21, Xasd5 (?), 09:12, 28/02/2019 [^] [ответить]     [к модератору]  
  • +3 +/
    програмно перезаливать это значит -- выдать образ заражённой системе и попросит... весь текст скрыт [показать]
     
     
  • 4.41, mickvav (?), 17:50, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Там проблема в том, что написать закладку так чтобы казалось, что образ установлен - не самая тривиальная задача. Но весьма вероятно - решаемая, да.
     
  • 1.2, PavelR (??), 23:12, 27/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >после смены арендатора не очищались логи BMC и сохранялся прежний пароль доступа к BMC-интерфейсу

    не, ну хотя бы это могли бы и предусмотреть...

     
  • 1.3, jOKer (ok), 23:24, 27/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –9 +/
    > Supermicro

    Это та самая Supermicro о которой шел слушок, что в ее материнках... гм... скажем так: не все благополучно с безопасностью?

     
     
  • 2.4, Annoynymous (ok), 23:28, 27/02/2019 [^] [ответить]    [к модератору]  
  • +17 +/
    Ложечки нашли, никаких проблем не было, но осадочек в лице поверивших в развод хомячков остался.

    Да, это та самая, хомячок.

     
     
  • 3.55, Аноним (55), 13:08, 02/03/2019 [^] [ответить]    [к модератору]  
  • +/
    О проплаченный бот в комментах. Сколько платят таким ботам как ты?
     
  • 2.12, Онаним (?), 00:39, 28/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    BMC да, BMC адешник. Один чёрт лысый знает, к чему там у BMC есть доступ.
     
     
  • 3.17, ryoken (ok), 07:53, 28/02/2019 [^] [ответить]    [к модератору]  
  • +8 +/
    Коротко - ко всему.
     
  • 1.6, Аноним (6), 23:52, 27/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Страшно нынче жить.
     
  • 1.7, Аноним (7), 23:55, 27/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > используемых в IBM Cloud серверах IBM SoftLayer, построенных на основе плат Supermicro.

    Дожили.

     
     
  • 2.13, Онаним (?), 00:40, 28/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    Да не, а чего дожили Хлам под хлам, всё нормально ... весь текст скрыт [показать]
     
     
  • 3.32, Аноним (32), 11:27, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Ты как всегда недопонял. Хлам - это хэпэ.
     
  • 1.8, Аноним (8), 00:29, 28/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Чуваки узнали про безопасность
     
  • 1.9, Noname (??), 00:30, 28/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что мешает перепрошивать левыми прошивками bios материнских плат, сетевых плат, и жестких дисков?
    look for firmware everywhere
     
     
  • 2.11, Онаним (?), 00:38, 28/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Внезапно цифровая подпись.
     
     
  • 3.19, Аноним (19), 08:38, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Так она не проверяется, чем в статье и воспользовались
     
  • 3.34, J.L. (?), 12:18, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > Внезапно цифровая подпись.

    это какой биос можно перезалить ТОЛЬКО с цифровой подписью?

     
  • 1.10, Онаним (?), 00:37, 28/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Опять супермокрые отличились... сколько уж раз говорилось: зачем вам это? Ну вот теперь в IBM 5 раз подумают.
     
     
  • 2.28, ебеме (?), 09:54, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    а чо тут еще думать, когда ленову мы продали давно?
    Обратно у китайцев предлагаешь откупить? Инвесторы этого точно не поймут.

    А три ярда - поймут, "вложили в перспективные технологии"!

     
  • 1.15, лютый жабист__ (?), 05:49, 28/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Какая может быть безопасность в дядиных облаках? Хотя, очень печально, что этого не понимают даже дедушки в советах директоров очень жирных компаний (например нашей). Им надо ФОТ сокращать, причём каждый год... даже если газик и неффть растут.
     
     
  • 2.16, жырный дедушка из совета директоров (?), 06:59, 28/02/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    а какая может быть безопасность на сервере в нашем ЦОД на -5м этаже нашей башни,... весь текст скрыт [показать]
     
     
  • 3.20, инвестор (?), 09:07, 28/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Куда эти с*ки за год дели три миллиарда?
     
     
  • 4.23, партнёр (?), 09:33, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Братэлла, будь проще. Заводик прикупили по сходной цене. Америкэн Мокро Дивэйсы. Прикинь, темка. У китайцев чё-то там всего 14, а у нас целых 130. Вот это прям ну ваще перспективное вложение средств.
     
  • 4.29, ебеме (?), 10:42, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    _грамотно_вложили_, ждите подробнейшую информацию в нашем годовом отчете
    (ну и, без протокола - ну ведь вы ж сами точно так же вкладываете?!)
     
  • 3.35, J.L. (?), 12:21, 28/02/2019 [^] [ответить]     [к модератору]  
  • +/
    так видимо точно так же как и авторы обсуждаемой статьи... весь текст скрыт [показать]
     
     
  • 4.36, нах (?), 13:15, 28/02/2019 [^] [ответить]     [к модератору]  
  • +/
    так они пароль знали - свой собственный А вот что делает ibm, если ушлый юзер п... весь текст скрыт [показать]
     
  • 3.42, mickvav (?), 17:53, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Ну это, джампер какой волшебный отдельным проводом вывели к себе в систему управления. Делов-то.
     
     
  • 4.58, Аноним (55), 13:15, 02/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Удаленно управляемые джамперы в некоторых системах это мечта.
     
  • 1.18, dalco (ok), 08:37, 28/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Хм, интересно, сколько перезаписей в среднем выдерживает флэшка с прошивкой для BMC?

    Если так прикинуть, с точностью плюс-минус лапоть, то за всю жизнь мамки прошивка обновляется хорошо, если десяток раз.

    А тут после каждого арендатора прошивку перезаливать.

    P.S. Просто есть такое подозрение, что с wear leveling там никто не заморачивается.

     
     
  • 2.22, Аноним (22), 09:32, 28/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Достаточно 1 прописать в договоре запрет на перешивку 2 проверять изменения пр... весь текст скрыт [показать]
     
     
  • 3.24, Аноним (24), 09:40, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > проверки на перешивки должны быть АППАРАТНЫМ

    Интересная идея /* включает паяльную станцию, точит нож, ищет в коробке тумблер */

     
     
  • 4.25, dalco (ok), 09:47, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Ха, вспомнились времена первых пней. На некоторых мамках тупо перемычка была на запрет записи прошивки. Вроде как, от винчиха должно было спасти.
     
  • 2.26, нах (?), 09:50, 28/02/2019 [^] [ответить]     [к модератору]  
  • +/
    флэшки 1994го года выпуска, когда технология только-только начиналась, без всяки... весь текст скрыт [показать]
     
  • 2.27, Айран (?), 09:52, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    на обычных платах флэшпамять bios тысяч на 100 перезаписей заявляют... а некоторые хитрые и на 150
     
     
  • 3.30, ебеме (?), 10:44, 28/02/2019 [^] [ответить]     [к модератору]  
  • +/
    это ж ужасно, этого ж может не хватить - 100000 это ж всего за 10 лет по 30 пере... весь текст скрыт [показать]
     
  • 2.39, Aliech (ok), 16:19, 28/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    SPI-флешка в обычной материнке взбадривается intel bsp'шным init'ом с десяток раз при каждой загрузке. Это не считая активности от ME. И ничего, работает...
     
     
  • 3.46, Neandertalets (ok), 21:08, 28/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    То, что ты описываешь, очень похоже на чтение, а для флешек указываются циклы перезаписи.
    А все параметры хранятся в CMOS.
     
     
  • 4.47, пох (?), 22:36, 28/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    не хотел бы тебя огорчать, но пока ты там вытаивал из льдины ледникового периода, чмос твой давно уже кончился, лет уже пятнадцать тому. Сегодня это та самая spi флэшка и есть.

     
  • 4.59, Aliech (ok), 17:45, 02/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > То, что ты описываешь, очень похоже на чтение, а для флешек указываются
    > циклы перезаписи.
    > А все параметры хранятся в CMOS.

    CMOS раздули в четыре раза, а потом и вовсе кое-чего на него забили. В spi нынче даже кеш инициализации памяти хранится. Так intel экономит около десяти секунд при включении...

    Да, без таких хуков, дёргающих флешку на чтение и запись каждый раз, intel'овский init безбожно долго стартует мать. А там ведь ещё ME что-то делает...

     
  • 2.44, бугага (?), 18:27, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    На днях как раз шил флешку модуля ASMB6-iKVM
    Macronix MX25L25735E - "Typical 100,000 erase/program cycles"
     
  • 2.53, КО (?), 10:57, 01/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Ну, поскольку, mlc там особе не требуется (ибо объемы минимальны, там вообще и NOR  можно использовать) то где-то 100 тысяч раз должна потянуть, а то и миллион.
     
  • 1.33, J.L. (?), 12:14, 28/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > особенность данных плат, из-за которой перед установкой новой прошивки не применялась проверка целостности образа прошивки по цифровой подписи

    АХАХАХАХАХА особенность!!!!
    сначала убрали физический рубильник для записи биоса, а теперь получили "особенность"

     
     
  • 2.37, Sw00p aka Jerom (?), 14:54, 28/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Virus.Win9x.CIH на них не хватает :)
     
  • 2.40, нах (?), 16:34, 28/02/2019 [^] [ответить]     [к модератору]  
  • +3 +/
    стесняюсь спросить - вроде немолодой уже человек - вы кроме своего локалхоста во... весь текст скрыт [показать]
     
     
  • 3.43, J.L. (?), 18:16, 28/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    >> сначала убрали физический рубильник для записи биоса,
    > стесняюсь спросить - вроде немолодой уже человек - вы кроме своего локалхоста
    > вообще что-то когда-то видели?

    для таких как вы гирконы (магнитные ключи) выводят на корпус устройства, но без физического доступа к корпусу не дают делать

     
     
  • 4.48, нах (?), 22:42, 28/02/2019 [^] [ответить]    [к модератору]  
  • +/
    для таких как я подобной фигней не маются.
    Вы, очевидно, действительно ничего кроме локалхоста под столом никогда не видели, если только не на картинке.

    вот щастье-то было бы, лазить с магнитом в поисках герконов на корпусах в стойке. (отдельно забавно, сколько их замкнешь по дороге нечаянно не тех)

    Ладно б чего поумнее придумали - типа выноса переключателя куда-нибудь на морду или жопу, там хоть поисковые индикаторы есть, не промахнешься. Правда, где-нибудь на 44м ярусе тоже то еще удовольствие будет. Видимо, именно по этой причине нынче там и reset-то не всегда есть.


     
  • 4.60, подмышка (?), 00:51, 06/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > гирконы

    вот такой он - диванный эксперт

    ЗЫ: гЕркон - герметизированный контакт

     
  • 3.49, Zulu (?), 00:43, 01/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Общая идея правильная, знакомсктва с нормальными серверами никакого.

    1. Зачем выдвигать, Сановские железки имели ключ (физический) или слот под карту доступа на морде бог знает сколько лет назад.
    2. Что значит "не выдвигается", что это за народная самодеятельность? Если все шасси не выдвигается, то значит что-то другое открывается или мать вынимается как-то иначе (см. SPARC T5-4 и выше, например)

     
     
  • 4.52, нах (?), 10:14, 01/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > Зачем выдвигать, Сановские железки имели ключ (физический) или слот под карту доступа на морде
    > бог знает сколько лет назад

    ну вот по этой причине ты ищешь новую работу.
    Потому что сдавать мелкой россыпью в аренду эти сановские железки - дураков, почему-то, не нашлось (ну или мягче, не нашлось по настоящему эффективного менеджера, который сумел бы придумать, где на этом заработать больше, чем сдавая в аренду недосервера от супермикры - сановские вот продали акции, пока брали хоть за какие деньги, и свалили в туманную даль)

    > Что значит "не выдвигается", что это за народная самодеятельность?

    ну, во-первых, что-то больше 2u выдвигать - это надо быть очень уверенным или молодым (шанс что внезапно на тебя рухнет хреново прикрученная к полу стойка - далеко не нулевой - 100кг на метровом рычаге это совсем несмешно, и хоронить будут в кошачьей коробке - чего на гроб тратиться, сверните его в рулончик)

    во-вторых, не помню супермикровский (но не просто так это отдельный p/n) но вот интеловский хорошо помню - $120 штучка. А уголки для мертвой фиксации - $25, а к 2u вообще бесплатно шли. Угадай, какая мысля немедля рождается в голове эффективного, ответственного за заказ? А когда ты их докупишь - окажется, что все уже привернули и сдали клиенту ;-)

     
     
  • 5.54, Zulu (?), 20:18, 01/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > ну вот по этой причине ты ищешь новую работу.

    Я что?

    > хреново прикрученная к полу стойка

    Я же говорю, народная самодеятельность.

     
  • 3.50, Аноним (50), 07:22, 01/03/2019 [^] [ответить]     [к модератору]  
  • +/
    Задачка по интереснее 4U весом под 100кг 84 диска внутри - выдвигающиеся на п... весь текст скрыт [показать]
     
     
  • 4.51, нах (?), 10:04, 01/03/2019 [^] [ответить]    [к модератору]  
  • +/
    это обычно уже ентерпрайзные админы так страдают - к счастью, им действительно редко надо, тем более что в энтерпрайзе зоопарк в разумных пределах часто допустим, это лучше чем массовый апгрейд всего с отвалом сервисов. Там еще и диски с 62 по 84 вынимаются методом "засунуть руку, согнуть под 90, просунуть еще на десять сантиметров, согнуть под 45, нащупать защелку...мы не поняли, почему у вас проблема - наши разумные осьминоги ни разу не жаловались!" (tyan такое делал, да)

    В аренду такие ящики если даже и сдаются, то эксклюзивно-поштучно.

    А у ебеме массовый колло с подневной арендой - там либо 1u, либо 2u, либо блейды, но какие у супермикры блейды - вам лучше не знать ;-) А, еще бывает супермикра в четверть-юнит - этих иногда по два пихают, щастье потом в них копаться - просто неземное (ну, в смысле, в аду примерно то же самое, и тоже доступ только из горячего коридора)
    Соответственно, в стойке их - много, даже МНОГО. И стоек тоже ;-)

    Так что если кому предлагают "побыстрому поменять положение джампера" - бегите оттуда ;-)

     
     
  • 5.57, Аноним (55), 13:12, 02/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Зато злоумышленник не пройдет.
     
  • 1.38, PnDx (ok), 16:18, 28/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Так, напротив HP галочку в прошлом году поставили (тамошний BMC "iLO". Но не факт что всех версий). Напротив IBM — поставили (пока "IBM Cloud", но может с ними показалось интересней). Ждём Dell ("iDRAC")?
     
  • 1.45, Аноним (45), 19:50, 28/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > BMC

    Еще одна убогая технология с кривой реализацией.

     
  • 1.56, Аноним (55), 13:11, 02/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну всё айбиэм попал на иски от юриков.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor