Pantsdown: Fehler in Server-Firmware ermöglicht Rootkit

Eine Sicherheitslücke in der Firmware von Baseband Management Controllern (BMC) ermöglicht bösartigen Admins, eine Art Rootkit zu installieren, das nur schwer auffindbar ist. Besonders kritisch wird dies bei der Verwendung gebrauchter Hardware.

Artikel veröffentlicht am ,
Die BMC sind zur Fernwartung der Server im Rechenzentrum gedacht.
Die BMC sind zur Fernwartung der Server im Rechenzentrum gedacht. (Bild: Marc Sauter/Golem.de)

Die Firmware der Baseband Management Controller (BMC) Ast2400 und Ast2500 von Hersteller Aspeed enthält eine Sicherheitslücke (CVE-2019-6260), die es bösartigen Admins ermöglicht, Schadsoftware tief in der Firmware von Servermainboards zu verstecken. Besonders kritisch wird diese Art Angriffsszenario bei der Wiederverwendung gebrauchter Server-Hardware beziehungsweise in dem Fall, in dem Anbietern der Boards etwa in Cloud-Rechenzentren nicht vertraut wird.

In der teilweise etwas albernen Tradition der Open-Source-Community, Sicherheitslücken mit sprechenden Codenamen zu referenzieren, wird die aktuelle Lücke Pantsdown genannt. Das sei eine Anspielung der Entdecker darauf, dass die Industrie mit heruntergelassener Hose erwischt worden sei, wie der IBM-Angestellte Stewart Smith in seinem Blog schreibt.

Die Möglichkeiten eines Schadcodes sind aufgrund der weitreichenden Funktionen des BMC vielfältig. Die BMC haben meistens einen Vollzugriff auf das eigentliche Server-System inklusive dem Netzwerk. Wichtig ist in der Betrachtung vor allem, dass Schadsoftware im BMC weder vom genutzten Betriebssystem noch von einem Hypervisor entdeckt werden kann. Ebenso übersteht die Malware in solch einem Fall Neustarts beziehungsweise ein Neuaufsetzen des genutzten Betriebssystems für den Server.

Auswirkung schwierig zu beurteilen

Inwiefern ein Angriff aber tatsächlich als relevant zu betrachten ist, hängt davon ab, ob und in welchem Umfang die Nutzer der Serverhardware die BMC-Software selbst verändern oder eben nicht. Große Anbieter setzten regelmäßig auf einen eigenen Softwarestack zur Fernwartung über die BMC und spielen diese als ersten Schritt vor der Inbetriebnahme ein. Bei kleineren Unternehmen oder Hostern gehört das aber wohl nicht zum Standardvorgehen.

Eine detaillierte Analyse zu der Lücke und möglichen Risiken liefert der Blogeintrag des Entwicklers Smith. Demnach betrifft die Sicherheitslücke die BMC-Systeme der großen Hersteller AMI und Supermicro sowie das von der Linux Foundation als Kollaborationsprojekt geführte OpenBMC. Die verwendete CPU-Architektur scheint ebenso nicht ausschlaggebend für die Sicherheitslücke zu sein, so ist diese auf x86-Systemen ebenso wie auf aktuellen Power-Systemen ausnutzbar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Equus
Serversystem mit OpenBMC und Linuxboot-Support verfügbar
artikel-bild
Blackbird
Raptor bringt Power9-Board und -CPU für 1.000 US-Dollar
artikel-bild
Border-Gateway-Protokoll
Angriff auf AWS-Server führt zu Ether-Diebstahl
Meistgelesen
artikel-bild
Google Street View
Deutschland bekommt keine Möglichkeit zur Zeitreise
artikel-bild
Balkonkraftwerke
Bundesnetzagentur warnt vor mangelhaften Wechselrichtern
artikel-bild
Wissenschaft
In Energydrinks enthaltenes Taurin könnte Leben verlängern
Kommentarübersicht
Re: Aha
1ras 25. Jan 2019

Okay, ich denke der Unterschied zur nun entdeckten Lücke ist, dass du nur noch Zugang zum...

Zumindest etwas Positives
M.P. 25. Jan 2019

Immerhin hat der Artikel vielleicht Aufmerksamkeit dafür generiert, dass man gebraucht...

Re: Chinesischer Spionage-Chip ?
brobdingnag 24. Jan 2019

Schon klar. Mein Gedanke war, dass die Zeitung das unglücklich formuliert hat oder...

Aktuell auf der Startseite von Golem.de
Google Street View
Deutschland bekommt keine Möglichkeit zur Zeitreise

Mit der überfälligen Aktualisierung verliert Street View auch das alte Bildmaterial - und das hat nicht nur mit Datenschutz zu tun.
Von Daniel Ziegener

Google Street View: Deutschland bekommt keine Möglichkeit zur Zeitreise
Artikel
  1. Schifffahrt: Hurtigruten plant Elektroschiff mit Segeln und Solarmodulen
    Schifffahrt
    Hurtigruten plant Elektroschiff mit Segeln und Solarmodulen

    Die norwegische Postschiff-Reederei will 2030 das erste Schiff in Betrieb nehmen, das elektrisch und vom Wind angetrieben wird.

  2. Saporischschja: AKW ist nach Staudammzerstörung mittelfristig in Gefahr
    Saporischschja
    AKW ist nach Staudammzerstörung mittelfristig in Gefahr

    Ein Experte für Reaktorsicherheit befürchtet, dass dem Atomkraftwerk Saporischschja das Kühlwasser ausgeht.

  3. Volker Wissing: Deutschlandticket soll in Frankreich gelten - und umgekehrt
    Volker Wissing
    Deutschlandticket soll in Frankreich gelten - und umgekehrt

    Frankreich plant etwas Ähnliches wie das 49-Euro-Ticket. Wissing will mit den Franzosen gemeinsame Sache machen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • XXL-Sale bei Alternate • MindStar: MSI G281UVDE 269€, ASRock RX 6700 XT Phantom D OC 379€, XFX Speedster MERC 319 RX 6800 XT Core 559€ • Corsair Vengeance RGB PRO SL DDR4-3600 32 GB 79,90€ • Corsair K70 RGB PRO 125,75€ • SHARP 65FN6E Android Frameless TV 559,20€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /