SicherheitslĂĽcke mit maximaler Risikostufe in Server-Fernwartung
Ethernet-Ports für Fernwartung gehören nicht ans öffentliche Netz, wie eine aktuelle Sicherheitslücke eindrucksvoll demonstriert.
(Bild: c’t Magazin)
Volle zehn Punkte im Common Vulnerability Scoring System (CVSS) muss man erst mal schaffen. Das gelang nun der Fernwartungsfirmware AMI MegaRAC, die auf Baseboard Management Controllern (BMCs) von Servern unter anderem von Asus, Asrock Rack, HPE und Lenovo läuft.
Sicherheitsexperten von Eclypsium haben in AMI MegaRAC die Schwachstelle CVE-2024-54085 mit dem CVSS-Score von 10.0 (kritisch) entdeckt. Sie heißt auch "Redfish Authentication Bypass", weil sie in einem Codemodul für die Fernwartungs-API Redfish steckt. Letztere soll eigentlich deutlich sicherer sein als das ältere und als unsicher bekannte Intelligent Platform Management Interface (IPMI).
AMI stellt Informationen zu CVE-2024-54085 bereit sowie auch Patches, die allerdings die Hersteller der eigentlichen Fernwartungssysteme erst noch in ihre jeweiligen Firmwares einbauen mĂĽssen.
Erste Updates verfĂĽgbar
Unter anderem stellen HPE (Cray XD670 Server) und Lenovo bereits gepatchte Firmware-Versionen bereit. Laut Eclypsium sind aber auch Server von Asus und Asrock Rack betroffen.
Grundsätzlich sollten Server aber so konfiguriert sein, dass die Fernwartung entweder abgeschaltet ist oder die dafür vorgesehenen Ports nur aus einem besonders geschützten Netz erreichbar sind.
Leider gibt es noch immer Server(-Mainboards), deren BIOS standardmäßig (BIOS Setup Defaults) die Fernwartung mit unsicheren Zugangsdaten aktiviert und gleichzeitig den Zugriff darauf über eine der eigentlich für Nutzdaten vorgesehenen Netzwerkbuchsen freischaltet. Daher finden spezialisierte Suchmaschinen wie Shodan seit Jahren weiterhin Tausende Systeme, deren BMC/IPMI-Zugänge auf UDP-Port 623 erreichbar sind.
(ciw)