Abo
  • IT-Karriere:

USBAnywhere: Supermicro-Server mit virtuellen USB-Sticks angreifen

Über mehrere Sicherheitslücken in den BMCs von Supermicro können Angreifer virtuelle USB-Sticks an die Server anschließen. Mit ihnen lassen sich Daten auslesen, Schadsoftware installieren oder das Betriebssystem austauschen.

Artikel veröffentlicht am ,
Ob an diese Supermicro-Server auch einfach virtuelle USB-Sticks angesteckt werden können?
Ob an diese Supermicro-Server auch einfach virtuelle USB-Sticks angesteckt werden können? (Bild: Frédéric Bisson/CC-BY 2.0)

Anstatt einen Mitarbeiter aufwendig per Social Engineering dazu zu bringen, einen USB-Stick in einen Server einzustecken, können Angreifer bei manchen Supermicro-Servern einfach selbst einen virtuellen USB-Stick anschließen. Die Sicherheitsfirma Eclypsium hat die entsprechenden Sicherheitslücken im Baseboard Management Controller (BMC) der Supermicro-Linien X9, X10 und X11 entdeckt. BMCs sind über das Netzwerk erreichbar und erlauben die Fernsteuerung und Überwachung des Servers. Zuerst hatte das Magazin Wired berichtet. Die Sicherheitsforscher nennen die Lücken USBAnywhere.

Stellenmarkt
  1. SSP Deutschland GmbH, Frankfurt
  2. Bechtle Onsite Services GmbH, Stuttgart

Um die Sicherheitslücken ausnutzen zu können, brauchen Angreifer jedoch Zugriff auf den BMC, der bestenfalls nur über ein abgeschottetes Netzwerk zu erreichen ist. Allerdings fanden die Sicherheitsforscher von Eclypsium 47.000 verwundbare Supermicro-BMCs, die über das Internet erreichbar waren. Kann ein Angreifer eine Verbindung zu einem BMC herstellen, muss er zudem einen Authentifizierungsschutz des Virtual Media Service umgehen, bevor er einen virtuellen USB-Stick anschließen kann.

Laut den Sicherheitsforschern sei dies auf mehrere Arten möglich: Bei den X10- und X11-Servern kann sich ein Angreifer mit beliebigen Zugangsdaten anmelden, sofern ein Administrator seit dem letzten Start des BMCs ein virtuelles Speichermedium verwendet hat. Da BMCs immer erreichbar sein sollen, dürfte dies häufig der Fall sein. In Tests habe dies zuverlässig funktioniert, erklärt Rick Altherr von Eclypsium. Alternativ könne ein Angreifer, der sich bereits im gleichen Netzwerk befindet, auch einfach den Login-Datenverkehr der Webanwendung mitschneiden. Da nur eine relativ schwache Verschlüsselung genutzt würde, könne ein Angreifer auch auf diesem Weg an die Zugangsdaten gelangen. Zudem könne er es mit den Standardzugangsdaten von Supermicro-Systemen versuchen, die häufig nicht geändert würden.

Gelingt dem Angreifer die Authentifizierung, kann er auf den virtuellen USB-Hub des BMCs zugreifen und hierdurch etwa Geräte wie eine virtuelle Tastatur oder USB-Stick anschließen. Mit diesem lässt sich beispielsweise bei einem Reboot Schadsoftware laden, die selbst eine Neuinstallation des Betriebssystems überlebt. Zudem kann das Betriebssystem ausgetauscht, Schadsoftware installiert oder Daten ausgelesen oder gelöscht werden.

"Physische Präsenz wird in vielen Sicherheitsmodellen als eine besondere Herausforderung angesehen. In unserem Fall haben wir jedoch ein Äquivalent zur physischen Präsenz", sagt Altherr. "Hierdurch ergeben sich endlose Möglichkeiten, denn BMCs sind sehr, sehr verbreitete Geräte."

Firmwareupdate von Supermicro

Die Sicherheitsforscher meldeten die Lücken im Juni an Supermicro. Der Serverhersteller hat Firmwareupdates für alle betroffenen Systeme veröffentlicht, diese müssen nun von den Administratoren eingespielt werden. Das dauere in der Praxis jedoch oft lange, erklärte Yuriy Bulygin, CEO von Eclypsium. Entsprechend dürften viele Server weiterhin verwundbar sein.

Supermicro bedankte sich bei den Sicherheitsforschen, betonte jedoch, dass BMCs in einem isolierten, privaten Netzwerk betrieben werden sollten, das nicht mit dem Internet verbunden ist. Das würde die Angriffsvektoren verringern, aber nicht beseitigen.

Im Oktober 2018 berichtete das US-Magazin Bloomberg über chinesische Spionagechips in Servern von Supermicro. Auch diese sollen mit dem BMC der Server verbunden gewesen sein, um über diesen auf Daten zuzugreifen. Laut Bloomberg waren betroffene Server auch bei Apple und Amazon im Einsatz. Die Unternehmen widersprachen den Darstellungen. Bis dato wurden keine Exemplare der betroffenen Spionagechips öffentlich. Technisch ist eine derartige Supply-Chain-Attacke jedoch durchaus möglich.



Anzeige
Top-Angebote
  1. (u. a. Sandisk 512-GB-SSD für 55,00€, WD Elements Exclusive Edition 2 TB für 59,00€ und Abend...
  2. 31,99€
  3. 139,00€ (Bestpreis!)
  4. (aktuell u. a. Speedlink Velator Gaming-Tastatur für 9,99€, Deepcool New Ark Gehäuse für 249...

Ctx33 04. Sep 2019 / Themenstart

Hast du den Artikel denn eigentlich gelesen? ;) Also nichts mit "Default-Zugangsdaten...

DooMRunneR 04. Sep 2019 / Themenstart

Dann sind aber immer noch die schwachen oder nicht vorhandenen Authentifizierungsmethoden...

Kommentieren


Folgen Sie uns
       


Philips Hue Play HDMI Sync Box angesehen

Die Philips Hue Play HDMI Sync Box ist ein HDMI-Splitter, über den Hue Sync verwendet werden kann. Im ersten Kurztest funktioniert das neue Gerät gut.

Philips Hue Play HDMI Sync Box angesehen Video aufrufen
Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    Surface Hub 2S angesehen: Das Surface Hub, das auch in kleine Meeting-Räume passt
    Surface Hub 2S angesehen
    Das Surface Hub, das auch in kleine Meeting-Räume passt

    Ifa 2019 Präsentationen teilen, Tabellen bearbeiten oder gemeinsam auf dem Whiteboard skizzieren: Das Surface Hub 2S ist eine sichtbare Weiterentwicklung des doch recht klobigen Vorgängers. Und Microsofts Pläne sind noch ambitionierter.
    Ein Hands on von Oliver Nickel

    1. Microsoft Nutzer berichten von defektem WLAN nach Surface-Update
    2. Surface Microsofts Dual-Screen-Gerät hat zwei 9-Zoll-Bildschirme
    3. Centaurus Microsoft zeigt intern ein Surface-Gerät mit zwei Displays

    Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
    Mobile-Games-Auslese
    Superheld und Schlapphutträger zu Besuch im Smartphone

    Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
    Von Rainer Sigl

    1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
    2. Dr. Mario World im Test Spielspaß für Privatpatienten
    3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

      •  /