Schwachstellen in Super Micro-Hardware ermöglichten es Sicherheitsforschern, eine Backdoor in einen IBM Cloud-Server einzubauen. Erste Warnungen vor möglichen Schwachstellen hatte es bereits vor 5 Jahren gegeben.
Anzeige
Zu Super Micro fällt mir sofort mein Artikel Amazon, Apple und die China-Spionage-Chips … von 2018 ein. Der damalige Verdacht: Auf Servern von Super Micro Computer Inc. seien chinesische Spionage-Chips verbaut. Einem Bericht nach, sollten um die 30 US-Firmen betroffen sein, darunter auch Apple. Das Ganze wurde von den betroffenen Firmen dementiert und ließ sich auch nicht belegen. Scheint also eine Räuberpistole gewesen zu sein.
Aber scheinbar braucht es keine chinesischen Spionage-Chips, wenn Hardware-Schwachstellen die Implementierung einer Backdoor auf Servern mit Super Micro-Controllern ermöglichen. Arstechnica weist in diesem Artikel auf den erfolgreichen Hack hin.
Warnung vor 5 Jahren
Bereits vor fünf Jahre warnten die Forscher vor den ernsten Sicherheitsrisiken, die ein weit verbreitetes Verwaltungstool für Server darstellt. Dieses Tool wird auch für einige der sensibelsten und geschäftskritischsten Computer verwendet. Nun zeigen neue Untersuchungen, wie Baseboard-Management-Controller (BMC), wie die Embedded-Hardware genannt wird, Premium-Cloud-Dienste von IBM und möglicherweise anderen Anbietern bedrohen.
BMCs sind Mikrocontroller mit Motherboard-Anschluss, die eine Kontrolle über Server in Rechenzentren ermöglichen. Mit dem Intelligent Platform Management Interface (IPMI) können Administratoren Betriebssysteme neu installieren, Apps installieren oder modifizieren und Konfigurationsänderungen an einer großen Anzahl von Servern vornehmen. Das geht, ohne physisch vor Ort zu sein und in vielen Fällen ohne die Server einzuschalten.
Anzeige
Im Jahr 2013 warnten die Forscher, dass BMCs, die in Servern von Dell, HP und anderen Herstellern von Markenprodukten vorinstalliert wurden, so schlecht gesichert waren, dass sie Angreifern eine bequeme Möglichkeit boten, ganze Serverflotten in Rechenzentren zu übernehmen.
BMCs als Einfallstor
Forscher des Sicherheitsunternehmens Eclypsium haben jetzt einen Bericht darüber zu veröffentlicht, wie BMC-Schwachstellen den Premium-Cloud-Service von IBM und möglicherweise anderen Anbietern bedrohen. Beim Premium-Service wird Bare-Metal-Cloud-Computing (direkt auf der Hardware) verwendet. Dies ist eine Option für Kunden, die besonders sensible Daten, aber auf eigenen Servern, speichern möchten. Mit der Premium-Option können Kunden den exklusiven Zugriff auf dedizierte physische Server so lange wie nötig erwerben und, wenn die Server nicht mehr benötigt werden, an den Cloud-Provider zurückgeben. Der Anbieter löscht dann die Server-Installation theoretisch, damit der Server von einem anderen Bare-Metal-Kunden sicher verwendet werden kann.
Die Sicherheitsforschung von Eclypsium zeigten, dass BMC-Schwachstellen dieses Modell untergraben können. Den Forschern ist es gelungen, eine Backdoor auf dem Server zu implementieren, die auch nach der Neuzuweisung des Servers an einen anderen Kunden aktiv bleibt. Die Hintertür bewirkt, dass der Kunde mit seinem Server offen für eine Vielzahl von Angriffen ist, darunter Datendiebstahl, Denial-of-Service und Ransomware.
Um dies zu beweisen, buchten die Forscher einen Bare-Metal-Server von IBMs SoftLayer Cloud-Service. Der Server verwendete ein BMC von Super-Micro, da von diesem Hardwarehersteller einer Vielzahl an Firmware-Schwachstellen bekannt sind. Die Forscher versicherten sich, dass das BMC mit der neuesten Firmware ausgestattet ist und notierten die Chassis- sowie Produktseriennummern. Dann nahmen sie für den Test eine kleine Modifikation der BMC-Firmware in Form eines einzigen geänderten Bits in einem Kommentar vor. Darüber hinaus haben die Forscher ein zusätzliches Benutzerkonto im Intelligent Platform Management Interface des BMC eingerichtet.
Dann gaben die Sicherheitsforscher den Server an IBM zurück und forderten neue Server-Instanzen an. Schließlich erhielten die Forscher einen mit dem gleichen Gehäuse und der gleichen Produktseriennummer wie der Server, den sie zuvor erhalten und modifiziert hatten, zugewiesen. Eine Inspektion dieses Servers zeigte erstaunliches bzw. erwartetes. Laut dem Bericht:
We did notice that the additional IPMI user was removed by the reclamation process, however the BMC firmware containing the flipped bit was still present. This indicated that the servers' BMC firmware was not re-flashed during the server reclamation process. The combination of using vulnerable hardware and not re-flashing the firmware makes it possible for a malicious party to implant the server's BMC code and inflict damage or steal data from IBM clients that use that server in the future.
Der zusätzlich eingerichtete Benutzer war beim Zurücksetzen des Servers durch IBM zwar gelöscht worden. Aber das in der Firmware zum Test modifizierte Bit war weiterhin unverändert.
Zudem stellten die Sicherheitsforscher auch fest, dass BMC-Protokolle bei der Bereitstellung des neuen Servers erhalten blieben. Und das BMC-Root-Passwort blieb ebenfalls bei der Bereitstellung gleich. Durch die nicht gelöschten Protokolle könnte ein neuer Kunde Einblick in die Aktionen und Verhaltensweisen des vorherigen Besitzers des Servers erhalten. Gleichzeitig weiß, könnte das erneut verwendete BMC-Root-Passwort einem Angreifer ermöglichen, in Zukunft leichter die Kontrolle über die Maschine zu erlangen. Wie Arstechnica hier schreibt, ist es nicht das erste Mal, dass solche Fehler aufgedeckt wurden. Keine besonders guten Aussichten, finde ich.
Ähnliche Artikel:
Amazon, Apple und die China-Spionage-Chips …
Supermicro Server: Firmware-Update für Sicherheitslücke
Anzeige
An dem Supermicro-Problem wird was dran sein, nur nicht in der Form, wie das in der Presse dargestellt wurde. Es wird kein weiterer Chip benötigt, um das zu machen. Vereinzelt konnte man nämlich lesen, dass das Problem dadurch entdeckt wurde, dass auf dem Netzwerkanschluss des Supermicroservers eine zweite IP- und Macadresse entdeckt wurde, nur den zugehörigen Chip konnte man nicht finden. Aber wenn eine zweite IP- und Macadresse entdeckt wurde, muss das doch heißen, dass auf dem LAN-Port ein zweiter Netzwerkchip hinzugefügt wurde? Es gingen die wildesten Theorien herum, dass der z.B. im Gehäuse des Netzwerksteckers selbst versteckt wurde. Das Zauberwort heißt IPMI/BMC Sideband. Es gibt Server, bei denen der BMC nämlich tatsächlich am normalen Netzwerkanschluss mitlauscht, und es gibt getrennte Management-Netzwerkports, wie bei z.B. den besseren Servern, z.B. Dell iDrac oder HP ILO. Und natürlich ist IPMI ein Einfallstor, was abgesichert werden muss. Wer z.B. bei Dells iDrac den Zugang auf root/calvin belässt, dem gehört fett in den A* getreten – besser als nur das Passwort zu ändern ist übrigens die AD-Integration, oder LDAP-Server, mit dann personalisierten Zugängen über eine Berechtigungsgruppe. Und wer nicht durch eine Firewall den Zugriff auf das Baseboardmanagement auf das Admin-PC-Subnetz beschränkt, dem auch.