USBAnywhere: Supermicro-Server mit virtuellen USB-Sticks angreifen

Über mehrere Sicherheitslücken in den BMCs von Supermicro können Angreifer virtuelle USB-Sticks an die Server anschließen. Mit ihnen lassen sich Daten auslesen, Schadsoftware installieren oder das Betriebssystem austauschen.

Artikel veröffentlicht am ,
Ob an diese Supermicro-Server auch einfach virtuelle USB-Sticks angesteckt werden können?
Ob an diese Supermicro-Server auch einfach virtuelle USB-Sticks angesteckt werden können? (Bild: Frédéric Bisson/CC-BY 2.0)

Anstatt einen Mitarbeiter aufwendig per Social Engineering dazu zu bringen, einen USB-Stick in einen Server einzustecken, können Angreifer bei manchen Supermicro-Servern einfach selbst einen virtuellen USB-Stick anschließen. Die Sicherheitsfirma Eclypsium hat die entsprechenden Sicherheitslücken im Baseboard Management Controller (BMC) der Supermicro-Linien X9, X10 und X11 entdeckt. BMCs sind über das Netzwerk erreichbar und erlauben die Fernsteuerung und Überwachung des Servers. Zuerst hatte das Magazin Wired berichtet. Die Sicherheitsforscher nennen die Lücken USBAnywhere.

Stellenmarkt
  1. Developer / EntwicklerIn EdTech (Backend & Frontend) (w/m/d)
    NE GmbH | Brockhaus, München
  2. Wissenschaftliche Mitarbeiter*innen mit dem Schwerpunkt (Satelliten-)Fernerkundung
    Umweltbundesamt, Berlin, Leipzig, Dessau-Roßlau
Detailsuche

Um die Sicherheitslücken ausnutzen zu können, brauchen Angreifer jedoch Zugriff auf den BMC, der bestenfalls nur über ein abgeschottetes Netzwerk zu erreichen ist. Allerdings fanden die Sicherheitsforscher von Eclypsium 47.000 verwundbare Supermicro-BMCs, die über das Internet erreichbar waren. Kann ein Angreifer eine Verbindung zu einem BMC herstellen, muss er zudem einen Authentifizierungsschutz des Virtual Media Service umgehen, bevor er einen virtuellen USB-Stick anschließen kann.

Laut den Sicherheitsforschern sei dies auf mehrere Arten möglich: Bei den X10- und X11-Servern kann sich ein Angreifer mit beliebigen Zugangsdaten anmelden, sofern ein Administrator seit dem letzten Start des BMCs ein virtuelles Speichermedium verwendet hat. Da BMCs immer erreichbar sein sollen, dürfte dies häufig der Fall sein. In Tests habe dies zuverlässig funktioniert, erklärt Rick Altherr von Eclypsium. Alternativ könne ein Angreifer, der sich bereits im gleichen Netzwerk befindet, auch einfach den Login-Datenverkehr der Webanwendung mitschneiden. Da nur eine relativ schwache Verschlüsselung genutzt würde, könne ein Angreifer auch auf diesem Weg an die Zugangsdaten gelangen. Zudem könne er es mit den Standardzugangsdaten von Supermicro-Systemen versuchen, die häufig nicht geändert würden.

Gelingt dem Angreifer die Authentifizierung, kann er auf den virtuellen USB-Hub des BMCs zugreifen und hierdurch etwa Geräte wie eine virtuelle Tastatur oder USB-Stick anschließen. Mit diesem lässt sich beispielsweise bei einem Reboot Schadsoftware laden, die selbst eine Neuinstallation des Betriebssystems überlebt. Zudem kann das Betriebssystem ausgetauscht, Schadsoftware installiert oder Daten ausgelesen oder gelöscht werden.

Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    08./09.11.2022, virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    07.-10.11.2022, virtuell
Weitere IT-Trainings

"Physische Präsenz wird in vielen Sicherheitsmodellen als eine besondere Herausforderung angesehen. In unserem Fall haben wir jedoch ein Äquivalent zur physischen Präsenz", sagt Altherr. "Hierdurch ergeben sich endlose Möglichkeiten, denn BMCs sind sehr, sehr verbreitete Geräte."

Firmwareupdate von Supermicro

Die Sicherheitsforscher meldeten die Lücken im Juni an Supermicro. Der Serverhersteller hat Firmwareupdates für alle betroffenen Systeme veröffentlicht, diese müssen nun von den Administratoren eingespielt werden. Das dauere in der Praxis jedoch oft lange, erklärte Yuriy Bulygin, CEO von Eclypsium. Entsprechend dürften viele Server weiterhin verwundbar sein.

Supermicro bedankte sich bei den Sicherheitsforschen, betonte jedoch, dass BMCs in einem isolierten, privaten Netzwerk betrieben werden sollten, das nicht mit dem Internet verbunden ist. Das würde die Angriffsvektoren verringern, aber nicht beseitigen.

Im Oktober 2018 berichtete das US-Magazin Bloomberg über chinesische Spionagechips in Servern von Supermicro. Auch diese sollen mit dem BMC der Server verbunden gewesen sein, um über diesen auf Daten zuzugreifen. Laut Bloomberg waren betroffene Server auch bei Apple und Amazon im Einsatz. Die Unternehmen widersprachen den Darstellungen. Bis dato wurden keine Exemplare der betroffenen Spionagechips öffentlich. Technisch ist eine derartige Supply-Chain-Attacke jedoch durchaus möglich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Die große Umfrage
Das sind Deutschlands beste IT-Arbeitgeber 2023

Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
Artikel
  1. Halbleiterfertigung: Micron baut 100-Milliarden-Dollar-Chipfabrik
    Halbleiterfertigung
    Micron baut 100-Milliarden-Dollar-Chipfabrik

    Im US-Bundesstaat New York will Micron eine der größten Chipfabriken der USA bauen. In ihrem Umfeld sollen bis zu 50.000 Arbeitsplätze entstehen.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. USB-C: Europaparlament macht Weg für einheitliche Ladekabel frei
    USB-C
    Europaparlament macht Weg für einheitliche Ladekabel frei

    In der EU gibt es künftig eine Standard-Ladebuchse für Smartphones und weitere Elektrogeräte. Die IT-Wirtschaft sieht die Einigung kritisch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /