安全研究人员发现包括宏碁、技嘉、联想等8家服务器企业特定产品使用第三方的固件产品有漏洞,可能导致服务器遭黑客执行任意程序代码攻击。
安全厂商Eclypsium在审查企业产品的固件安全景,发现联想2014年推出搭载Intel Ivy Bridge芯片的1U服务器ThinkServer RD340有二项重大漏洞。仔细关注发现出在其采用的ASPEED AST2300主板管理控制器(Baseboard Management controller,BMC)第三方固件名为MergePoint EMC,这款产品是由Avocent提供,后者现为Vertiv旗下子公司。
除了ThinkServer RD340外,联想其他新款System x及ThinkSystem服务器也使用此款BMC固件,包括ThinkSystem SR630 G6。
研究人员发现这款BMC固件有不少客户,包括主板大厂技嘉旗下多款搭载Vertiv/Avocent BMC的商用服务器(Enterprise Server)产品线。技嘉主板也卖给其他厂商组装成自有服务器。研究人员指出,技嘉产品使用有问题的BMC为ASPEED AST2400及ASPEED AST2500。
其他使用MergePoint EMC固件的服务器厂商,还有宏碁、大万亿(Bigtera)、AMAX、Ciara、Penguin Computing、sysGen等6家。
研究人员在MergePoint EMC上发现到的二个漏洞中,其一是在BMC固件接收更新并写入SPI闪存前未做加密签章验证。第二项漏洞则是固件更新行程本身有指令注入漏洞。两项漏洞都能让攻击者利用主机管理员权限在固件执行任意程序代码,并对BMC中的SPI闪存内容进行永久变更。这使攻击程序得以长期潜伏于系统中而无法为普通的安全措施,像是重装操作系统消灭。攻击者也能变更BMC环境,来防止未来通过软件机制更新固件,达到让BMC永久宕掉的目的。上述二种情形唯一解法,是以Dediprog或其他程序重刷SPI芯片。
此外,由于可在BMC LAN接口上创建IPMI(Intelligent Platform Management Interface)通信,因此如果攻击者能取得BMC的管理员密码,则还能远程开采这些漏洞,这在IPMI群组环境下尤其容易,因为所有成员可共享管理员凭证。
研究人员分别在去年7月及今年5月通知联想和技嘉,也在今年4月通知了Vertiv公司。联想证实ThinkServer RD340有此问题,并于去年11月发布安全公告以及修补程序解决指令注入漏洞。
技嘉则在今年5月8日修补了AST2500平台固件中的指令注入漏洞,但截至6月21日,AST2400平台仍未更新。
研究人员指出,这突显信息产业的重大问题,大部分硬件厂商依赖第三方固件,使得同样漏洞可能波及众多品牌。为防安全威胁蔓延,硬件厂商使用前必须彻底检查授权使用的第三方固件。