Abo
  • IT-Karriere:

Pantsdown: Fehler in Server-Firmware ermöglicht Rootkit

Eine Sicherheitslücke in der Firmware von Baseband Management Controllern (BMC) ermöglicht bösartigen Admins, eine Art Rootkit zu installieren, das nur schwer auffindbar ist. Besonders kritisch wird dies bei der Verwendung gebrauchter Hardware.

Artikel veröffentlicht am ,
Die BMC sind zur Fernwartung der Server im Rechenzentrum gedacht.
Die BMC sind zur Fernwartung der Server im Rechenzentrum gedacht. (Bild: Marc Sauter/Golem.de)

Die Firmware der Baseband Management Controller (BMC) Ast2400 und Ast2500 von Hersteller Aspeed enthält eine Sicherheitslücke (CVE-2019-6260), die es bösartigen Admins ermöglicht, Schadsoftware tief in der Firmware von Servermainboards zu verstecken. Besonders kritisch wird diese Art Angriffsszenario bei der Wiederverwendung gebrauchter Server-Hardware beziehungsweise in dem Fall, in dem Anbietern der Boards etwa in Cloud-Rechenzentren nicht vertraut wird.

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Schaltbau GmbH, München

In der teilweise etwas albernen Tradition der Open-Source-Community, Sicherheitslücken mit sprechenden Codenamen zu referenzieren, wird die aktuelle Lücke Pantsdown genannt. Das sei eine Anspielung der Entdecker darauf, dass die Industrie mit heruntergelassener Hose erwischt worden sei, wie der IBM-Angestellte Stewart Smith in seinem Blog schreibt.

Die Möglichkeiten eines Schadcodes sind aufgrund der weitreichenden Funktionen des BMC vielfältig. Die BMC haben meistens einen Vollzugriff auf das eigentliche Server-System inklusive dem Netzwerk. Wichtig ist in der Betrachtung vor allem, dass Schadsoftware im BMC weder vom genutzten Betriebssystem noch von einem Hypervisor entdeckt werden kann. Ebenso übersteht die Malware in solch einem Fall Neustarts beziehungsweise ein Neuaufsetzen des genutzten Betriebssystems für den Server.

Auswirkung schwierig zu beurteilen

Inwiefern ein Angriff aber tatsächlich als relevant zu betrachten ist, hängt davon ab, ob und in welchem Umfang die Nutzer der Serverhardware die BMC-Software selbst verändern oder eben nicht. Große Anbieter setzten regelmäßig auf einen eigenen Softwarestack zur Fernwartung über die BMC und spielen diese als ersten Schritt vor der Inbetriebnahme ein. Bei kleineren Unternehmen oder Hostern gehört das aber wohl nicht zum Standardvorgehen.

Eine detaillierte Analyse zu der Lücke und möglichen Risiken liefert der Blogeintrag des Entwicklers Smith. Demnach betrifft die Sicherheitslücke die BMC-Systeme der großen Hersteller AMI und Supermicro sowie das von der Linux Foundation als Kollaborationsprojekt geführte OpenBMC. Die verwendete CPU-Architektur scheint ebenso nicht ausschlaggebend für die Sicherheitslücke zu sein, so ist diese auf x86-Systemen ebenso wie auf aktuellen Power-Systemen ausnutzbar.



Anzeige
Hardware-Angebote
  1. 114,99€ (Release am 5. Dezember)
  2. 529,00€

1ras 25. Jan 2019

Okay, ich denke der Unterschied zur nun entdeckten Lücke ist, dass du nur noch Zugang zum...

M.P. 25. Jan 2019

Immerhin hat der Artikel vielleicht Aufmerksamkeit dafür generiert, dass man gebraucht...

brobdingnag 24. Jan 2019

Schon klar. Mein Gedanke war, dass die Zeitung das unglücklich formuliert hat oder...


Folgen Sie uns
       


Vaio SX 14 - Test

Das Vaio SX14 ist wie schon die Vorgänger ein optisch hochwertiges Notebook mit vielen Anschlüssen und einer sehr guten Tastatur. Im Golem.de-Test zeigen sich allerdings Schwächen beim Display, dem Touchpad und der Akkulaufzeit, was das Comeback der Marke etwas abschwächt.

Vaio SX 14 - Test Video aufrufen
Ursula von der Leyen: Von Zensursula zur EU-Kommissionspräsidentin
Ursula von der Leyen
Von "Zensursula" zur EU-Kommissionspräsidentin

Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.
Ein Bericht von Justus Staufburg

  1. Adsense for Search Neue Milliardenstrafe gegen Google in der EU

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

    •  /