• IT-Karriere:
  • Services:

USBAnywhere: Supermicro-Server mit virtuellen USB-Sticks angreifen

Über mehrere Sicherheitslücken in den BMCs von Supermicro können Angreifer virtuelle USB-Sticks an die Server anschließen. Mit ihnen lassen sich Daten auslesen, Schadsoftware installieren oder das Betriebssystem austauschen.

Artikel veröffentlicht am ,
Ob an diese Supermicro-Server auch einfach virtuelle USB-Sticks angesteckt werden können?
Ob an diese Supermicro-Server auch einfach virtuelle USB-Sticks angesteckt werden können? (Bild: Frédéric Bisson/CC-BY 2.0)

Anstatt einen Mitarbeiter aufwendig per Social Engineering dazu zu bringen, einen USB-Stick in einen Server einzustecken, können Angreifer bei manchen Supermicro-Servern einfach selbst einen virtuellen USB-Stick anschließen. Die Sicherheitsfirma Eclypsium hat die entsprechenden Sicherheitslücken im Baseboard Management Controller (BMC) der Supermicro-Linien X9, X10 und X11 entdeckt. BMCs sind über das Netzwerk erreichbar und erlauben die Fernsteuerung und Überwachung des Servers. Zuerst hatte das Magazin Wired berichtet. Die Sicherheitsforscher nennen die Lücken USBAnywhere.

Stellenmarkt
  1. Standard Life Versicherung, Frankfurt am Main
  2. Harting Electric GmbH & Co. KG, Espelkamp

Um die Sicherheitslücken ausnutzen zu können, brauchen Angreifer jedoch Zugriff auf den BMC, der bestenfalls nur über ein abgeschottetes Netzwerk zu erreichen ist. Allerdings fanden die Sicherheitsforscher von Eclypsium 47.000 verwundbare Supermicro-BMCs, die über das Internet erreichbar waren. Kann ein Angreifer eine Verbindung zu einem BMC herstellen, muss er zudem einen Authentifizierungsschutz des Virtual Media Service umgehen, bevor er einen virtuellen USB-Stick anschließen kann.

Laut den Sicherheitsforschern sei dies auf mehrere Arten möglich: Bei den X10- und X11-Servern kann sich ein Angreifer mit beliebigen Zugangsdaten anmelden, sofern ein Administrator seit dem letzten Start des BMCs ein virtuelles Speichermedium verwendet hat. Da BMCs immer erreichbar sein sollen, dürfte dies häufig der Fall sein. In Tests habe dies zuverlässig funktioniert, erklärt Rick Altherr von Eclypsium. Alternativ könne ein Angreifer, der sich bereits im gleichen Netzwerk befindet, auch einfach den Login-Datenverkehr der Webanwendung mitschneiden. Da nur eine relativ schwache Verschlüsselung genutzt würde, könne ein Angreifer auch auf diesem Weg an die Zugangsdaten gelangen. Zudem könne er es mit den Standardzugangsdaten von Supermicro-Systemen versuchen, die häufig nicht geändert würden.

Gelingt dem Angreifer die Authentifizierung, kann er auf den virtuellen USB-Hub des BMCs zugreifen und hierdurch etwa Geräte wie eine virtuelle Tastatur oder USB-Stick anschließen. Mit diesem lässt sich beispielsweise bei einem Reboot Schadsoftware laden, die selbst eine Neuinstallation des Betriebssystems überlebt. Zudem kann das Betriebssystem ausgetauscht, Schadsoftware installiert oder Daten ausgelesen oder gelöscht werden.

"Physische Präsenz wird in vielen Sicherheitsmodellen als eine besondere Herausforderung angesehen. In unserem Fall haben wir jedoch ein Äquivalent zur physischen Präsenz", sagt Altherr. "Hierdurch ergeben sich endlose Möglichkeiten, denn BMCs sind sehr, sehr verbreitete Geräte."

Firmwareupdate von Supermicro

Die Sicherheitsforscher meldeten die Lücken im Juni an Supermicro. Der Serverhersteller hat Firmwareupdates für alle betroffenen Systeme veröffentlicht, diese müssen nun von den Administratoren eingespielt werden. Das dauere in der Praxis jedoch oft lange, erklärte Yuriy Bulygin, CEO von Eclypsium. Entsprechend dürften viele Server weiterhin verwundbar sein.

Supermicro bedankte sich bei den Sicherheitsforschen, betonte jedoch, dass BMCs in einem isolierten, privaten Netzwerk betrieben werden sollten, das nicht mit dem Internet verbunden ist. Das würde die Angriffsvektoren verringern, aber nicht beseitigen.

Im Oktober 2018 berichtete das US-Magazin Bloomberg über chinesische Spionagechips in Servern von Supermicro. Auch diese sollen mit dem BMC der Server verbunden gewesen sein, um über diesen auf Daten zuzugreifen. Laut Bloomberg waren betroffene Server auch bei Apple und Amazon im Einsatz. Die Unternehmen widersprachen den Darstellungen. Bis dato wurden keine Exemplare der betroffenen Spionagechips öffentlich. Technisch ist eine derartige Supply-Chain-Attacke jedoch durchaus möglich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u.a. Battlefield V für 21,49€ und Dying Light - The Following Enhanced Edition für 11,49€)
  2. (-63%) 11,00€
  3. (-62%) 7,50€
  4. 52,99€

Ctx33 04. Sep 2019

Hast du den Artikel denn eigentlich gelesen? ;) Also nichts mit "Default-Zugangsdaten...

DooMRunneR 04. Sep 2019

Dann sind aber immer noch die schwachen oder nicht vorhandenen Authentifizierungsmethoden...


Folgen Sie uns
       


Jedi Fallen Order - Fazit

Wer Fan von Star Wars ist und neben viel Macht auch eine gewisse Frusttoleranz in sich spürt, sollte Jedi Fallen Order eine Chance geben.

Jedi Fallen Order - Fazit Video aufrufen
Star Wars Jedi Fallen Order im Test: Sternenkrieger mit Lichtschwertkrampf
Star Wars Jedi Fallen Order im Test
Sternenkrieger mit Lichtschwertkrampf

Sympathische Hauptfigur plus Star-Wars-Story - da sollte wenig schiefgehen! Nicht ganz: Jedi Fallen Order bietet zwar ein stimmungsvolles Abenteuer. Allerdings kämpfen Sternenkrieger auch mit fragwürdigen Designentscheidungen und verwirrend aufgebauten Umgebungen.
Von Peter Steinlechner

  1. Star Wars Jedi Fallen Order Mächtige und nicht so mächtige Besonderheiten

Social Engineering: Die Mitarbeiter sind unsere Verteidigung
Social Engineering
"Die Mitarbeiter sind unsere Verteidigung"

Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.
Ein Interview von Moritz Tremmel

  1. Social Engineering Mit künstlicher Intelligenz 220.000 Euro erbeutet
  2. Social Engineering Die unterschätzte Gefahr

Von De-Aging zu Un-Deading: Wie Hollywood die Totenruhe stört
Von De-Aging zu Un-Deading
Wie Hollywood die Totenruhe stört

De-Aging war gestern, jetzt werden die Toten zum Leben erweckt: James Dean übernimmt posthum eine Filmrolle. Damit überholt in Hollywood die Technik die Moral.
Eine Analyse von Peter Osteried


      •  /