Sicherheitslücken in Supermicro IPMI: Server übers Internet angreifbar

Admins sollten die Fernüberwachunglösung Supermicro Intelligent Management aus Sicherheitsgründen auf den aktuellen Stand bringen.

Insgesamt sieben, davon vier von ihren Entdeckern als kritisch eingestufte Sicherheitslücken beschreiben die Forscher von Binarly in ihrem Blogbeitrag. Die Schwachstellen finden sich in der Firmware der auf den Supermicro-Boards verlöteten Baseboard Management Controllers (BMC)-Chips. Genauer: In den Webserver-Komponenten der Firmware. Laut Hersteller seien Boards der elften (X11, H11, B11, M11) und zwölften (H12) Generation sowie Produkte der Remote-Management-Serie CMM betroffen. Um Systeme zu schützen, müssen Admins eine abgesicherte BMC-Firmware installieren. Welche das konkret ist, führt Supermicro derzeit nicht aus und verweist auf die Releasenotes.

Auf Nachfrage bestätigt Binarly-Gründer Alex Matrosov gegenüber heise security jedoch, dass auch ältere Serien wie X10 oder X9 betroffen seien. Offenbar leiden die auf diesen Boards verlöteten Aten-BMC-Chips unter den gleichen Schwächen wie ihrer jüngeren Nachfolger. Der Hersteller bietet für diese älteren Boards aber keine Firmware-Updates, da diese nicht mehr offiziell unterstützt werden.

Umfassender Zugriff

Supermicro setzt bei seiner BMC-Variante auf den IPMI (Intelligent Platform Management Interface)-Standard. IPMI dient zum Überwachen von Faktoren wie Temperaturen, Lüftern oder Energieaufahme und kann auch zur Fernsteuerung des Serversystems verwendet werden. Wer Zugriff auf IPMI erlangt, hat quasi die Hände auf der in den Server gesteckten Tastatur und kann beispielsweise beliebige UEFI-Firmware installieren und die Maschine so auch über Neustarts hinweg unter Kontrolle halten.

Entsprechend schwerwiegend sind laut Binarly drei der Bugs (CVE-2023-40284, CVE-2023-40287 und CVE-2023-40288), da sie Angreifer beliebigen JavaScript-Code im Kontext des legitimen, angemeldeten Nutzer ausführen lassen. Supermicros Einstufung dieser Lücken weicht mit “hoch” von Binarlys “kritisch” ab, da der Hersteller unterstellt, dass ein Angreifer die IP-Adresse des IPMI-Interfaces nicht kennt.

Die Sicherheitsforscher weisen darauf hin, dass es ein leichtes sei, die IPs per Scan ausfindig zu machen: Sie fanden mit Hilfe von Shodan über 70.000 übers Internet per HTTP/HTTPS zugängliche IPMI-Interfaces. Ob diese Server-Motherboards aufgrund einer Fehlkonfiguration frei im Internet hängen oder ob beispielsweise ein Hosting-Anbieter die IPMI-Schnittstellen von Dedicated Servern mit öffentlichen IPs vorkonfiguriert, ist unklar.

Kompromittierte Systeme

Fest steht: All diese Server könnten durch die Bug-Kaskade vollständig unter die Kontrolle von Angreifern fallen. Denn kombiniert ein Angreifer die Attacke der drei oben genannten Bugs mit einem Angriff auf eine andere der entdeckten Lücken (CVE-2023-40284), deren Missbrauch das Absetzen von Kommandos mit root-Rechten erlaubt, wird die Katastrophe aus Sicht der Serverbetreiber perfekt. Supermicro gibt an, dass sie bislang noch keine Attacken beobachtet haben.

In ihrem Blogbeitrag führen die Hacker aus, dass Supermicro versuche, auch die Tragweite der übrigen Lücken herunter zu spielen. “Nach unserer Ansicht ist das eine grundfalsche Haltung, da Kunden so mit falschen Informationen die Kritikalität einzelner Updates bewerten müssen”, schreiben die Binarly-Forscher.

(des)