Alert!

Server-Wartung: Gefährliche BMC-Lücken könnte Supply-Chain-Attacken auslösen

Sicherheitsforscher sind unter anderem auf eine kritische Sicherheitslücke in Baseboard Management Controllern von American Megatrend gestoßen.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Blackout,Concept.,Emergency,Failure,Red,Light,In,Data,Center,With
Lesezeit: 2 Min.
Inhaltsverzeichnis

Angreifer könnten an Schwachstellen in Baseboard Management Controllern (BMC) von American Megatrend Inc. (AMI) ansetzen und so Server etwa in Cloud-Rechenzentren mit Schadcode attackieren.

Über die Managementlösung BMC können Admins Server aus der Ferne warten (Stichworte: out-of-bands, lights-out). Die Fernwartung vom AMI ist weit verbreitet und kommt unter anderem bei AMD, Asus, Dell, Nvidia und Qualcomm zum Einsatz.

Einem Bericht der Sicherheitsforscher von Eclypsium zufolge stecken die drei Sicherheitslücken (CVE-2022-40259 „kritisch“, CVE-2022-40242 „hoch“, CVE-2022-2827 „hoch“) in der BMC-Firmware. Demzufolge sind alle Hersteller von den Schwachstellen betroffen. In so einem Fall spricht man von einer Supply-Chain-Attacke.

Setzen Angreifer erfolgreich an den ersten beiden Lücken an, steht ihnen eine Admin Shell zur Verfügung. Dann könnten sie unter anderem Schadcode ausführen und ganze Serverparks kompromittieren. Dafür müssten Angreifer zum Beispiel lediglich präparierte URLs an das Remote Management Interface Redfish senden. Einen ähnlichen Fall gab es Anfang 2022, als ein Rootkit durch eine Lücke in HPEs Fernwartung iLO schlüpfte.

Ob es im aktuellen Fall bereits Attacken gegeben hat, ist den Sicherheitsforschern zufolge bislang nicht bekannt. Aus dem Bericht der Forscher geht nicht konkret hervor, ob es bereits Sicherheitspatches für die genannten Schwachstellen gibt. Selbst wenn es Sicherheitspatches gibt, ist es aufgrund der vielen involvierten Parteien und Produkte schwierig, die Updates flächendeckend zu installieren. Ein Hauptproblem bei Supply-Chain-Attacken.

In allgemeinen Sicherheitshinweisen raten sie Admins unter anderem, alle Server auf dem aktuellen Stand zu halten und BMCs nicht öffentlich zugänglich zu machen. Geht es nicht anders, müssen Admins die Zugriffe via VPN oder SSH mit starker Authentifizierung vor Fremdzugriffen absichern. Die Sicherheitsforscher geben an, dass sie nach Scans nur vergleichsweise wenig direkt über das Internet erreichbare BMCs entdeckt haben.

(des)