Update nur manuell möglich: Schwachstellen in BMC-Firmware gefährden Serversysteme
Sicherheitsforscher von Binarly haben insgesamt sieben Schwachstellen in der Firmware von IPMI (Intelligent Platform Management Interface) für ältere Baseboard Management Controller (BMC) von Supermicro aufgedeckt, mit denen sich Angreifer weitreichende Kontrollmöglichkeiten über anfällige Serversysteme verschaffen können.
Bei BMC handelt es sich um kleine Chips, die auf der Hauptplatine von Serversystemen verlötet sind, um Administratoren verschiedene Funktionen zur Überwachung und Fernverwaltung zur Verfügung zu stellen. Auch für Cyberkriminelle bieten diese einen attraktiven Angriffspunkt, da ihnen infiltrierte BMC weitreichende Zugriffsmöglichkeiten auf die damit verwalteten Server einräumen.
Wie Supermicro in einer Sicherheitsmeldung(öffnet im neuen Fenster) erklärt, betrifft das Problem ausgewählte X11-, H11-, B11-, CMM-, M11- und H12-Mainboards. Ein Patch stehe bereit, jedoch müsse dieser einem Bericht von Ars Technica(öffnet im neuen Fenster) zufolge manuell eingespielt werden, da es keine automatische Updatefunktion gebe. Bisher sind wohl keine Fälle für eine aktive Ausnutzung der Schwachstellen bekannt, das dürfte nach der Offenlegung der Sicherheitslücken aber nur eine Frage der Zeit sein.
Nur in Kombination sind die Schwachstellen gefährlich
Im Zentrum möglicher Angriffe steht laut Ars Technica eine als CVE-2023-40289 registrierte Schwachstelle, die es böswilligen Akteuren erlaubt, Schadcode innerhalb eines BMC auszuführen. Zwar benötigt eine erfolgreiche Ausnutzung zunächst einen administrativen Zugriff auf den Controller, doch dieser lässt sich über eine der anderen sechs Sicherheitslücken herstellen, die allesamt XSS-Angriffe (Cross Site Scripting) über das Webinterface anfälliger Systeme ermöglichen. Erst die Kombination der Schwachstellen macht diese also gefährlich und erlaubt die vollständige Übernahme eines Zielsystems.
Sicherheitsexperten raten laut Binarly(öffnet im neuen Fenster) üblicherweise davon ab, BMC-Schnittstellen über das Internet verfügbar zu machen. Mit einer Shodan-Suche fanden die Forscher aber weltweit mehr als 70.000 Systeme, deren IPMI-Webschnittstelle öffentlich zugänglich war. Deutschland steht dort mit 8.340 Systemen auf dem zweiten Platz.
Forscher kritisieren Supermicro
Bereitgestellt wurde die anfällige IPMI-Firmware wohl von einem Drittanbieter namens Aten. Dieser soll CVE-2023-40289 schon vor sechs Monaten gepatcht haben, allerdings soll der Fix nie in die Firmware integriert worden sein. Diesbezüglich bestehe ein Problem mit der Lieferkette, sagte der Binarly-CEO Alex Matrosov zu Ars Technica. Auch andere BMC-Hersteller könnten demnach von den Schwachstellen betroffen sein.
Uneinig sind sich Binarly und Supermicro wohl auch in Bezug auf die Schweregrade der Sicherheitslücken. Während der Hersteller alle als hoch einstuft, halten die Sicherheitsforscher einige mit einem CVSS von bis zu 9,6 sogar für kritisch.
"Leider hat der Hersteller bei der Offenlegung versucht, die endgültigen Auswirkungen der dokumentierten Schwachstellen zu reduzieren. Wir halten dies für eine extrem falsche Position, da die Endkunden bei der Bewertung des Schweregrades eines bestimmten Updates falsche Informationen erhalten" , warnen die Forscher.