Schwachstellen in AMI-Firmware: Gigabyte-Hack gefährdet unzählige Serversysteme
Vor etwa zwei Jahren drangen Hacker in die internen Systeme des Hardwareherstellers Gigabyte ein. Dabei erbeuteten die Angreifer mehr als 112 Gigabyte an Daten, darunter auch vertrauliche Dokumente von Intel und AMD. Wie aus einem Bericht von Ars Technica(öffnet im neuen Fenster) hervorgeht, könnte der Sicherheitsvorfall aber für viele Computersysteme eine noch weitaus größere Gefahr bergen, als bisher angenommen wurde.
Demnach haben Sicherheitsforscher von Eclypsium zwei Schwachstellen in einer im Rahmen des Gigabyte-Hacks geleakten Firmware des Hardwareherstellers American Megatrends Inc. (AMI) entdeckt, die Angreifern schon seit Jahren weitreichende Möglichkeiten einräumen, Zielsysteme zu kompromittieren. Die betroffenen Controller-Chips von AMI, die auch als Baseboard-Management-Controller (BMC) bekannt sind, sind auf den Hauptplatinen unzähliger Server verlötet und ermöglichen eine einfache Fernverwaltung dieser Systeme.
Server lassen sich dauerhaft übernehmen oder gar beschädigen
Über die Schwachstellen in der AMI-Firmware sei es Angreifern möglich, einen administrativen Zugang zu "einigen der sensibelsten Cloudumgebungen der Welt zu erlangen". Dort könnten die kriminellen Akteure beliebige Arten von Schadsoftware installieren und die betroffenen Server sogar dauerhaft physisch beschädigen. Sie könnten sprichwörtlich für immer "das Licht ausschalten", wie die Forscher in ihrem Bericht(öffnet im neuen Fenster) wiederholt betonen.
Die erste Lücke (CVE-2023-34329) mit einem CVSS von 9,1 ermöglicht demzufolge eine Umgehung der Authentifizierung betroffener Systeme per HTTP-Header-Spoofing. Mit der zweiten Schwachstelle (CVE-2023-34330), die mit einem CVSS von 8,2 bewertet ist, können Angreifer über eine Redfish-Erweiterung, mit der Administratoren üblicherweise ihre Server fernsteuern, bösartigen Code einschleusen. Besonders gefährlich sei aber erst das Zusammenspiel beider Sicherheitslücken, für die die Forscher einen kombinierten CVSS von 10 nennen – das obere Ende der Skala, über die die Schwere einer Schwachstelle klassifiziert wird.
"Wenn beide Schwachstellen zusammen auftreten, kann sogar ein entfernter Angreifer mit Netzwerkzugriff auf die BMC-Verwaltungsschnittstelle und ohne BMC-Anmeldeinformationen eine entfernte Codeausführung erreichen, indem er dem BMC vorgaukelt, dass die http-Anfrage von der internen Schnittstelle stammt", so die Eclypsium-Forscher. Die Folge sei die Ausführung beliebigen Codes durch die Angreifer, die, sofern die Schnittstelle entsprechend konfiguriert ist, auch aus dem Internet erfolgen könne.
Unternehmen sollten schnell handeln
Nachdem die Forscher AMI über die Schwachstellen informiert hatten, stellte der Hersteller seinen Kunden über eine nicht öffentlich zugängliche Support-Seite(öffnet im neuen Fenster) Patches zur Verfügung. Darüber hinaus hat das Unternehmen ein Hinweisdokument (PDF)(öffnet im neuen Fenster) veröffentlicht, in dem es die beiden Sicherheitslücken neben fünf weiteren Schwachstellen auflistet.
Administratoren, die sich bei der Verwaltung ihrer Server auf AMI-gestützte BMCs verlassen, sollten sich so bald wie möglich um die Installation der Updates kümmern. Es gibt zwar bisher keine Hinweise darauf, dass Hacker die Schwachstellen bereits aktiv ausgenutzt haben, aber spätestens, seitdem deren Existenz an die Öffentlichkeit gelangt ist, könnte sich das durchaus schnell ändern.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.