Vulnerabilità in Firmware BMC
01/24/2019
Proto: N060119.
Con la presente Yoroi desidera informarLa relativamente alla recente scoperta di vulnerabilità all’interno di numerosi apparati server moderni aventi co-processore di servizio BMC (Baseboard Management Controller): particolare classe di chip embedded utilizzati per la gestione out-of-band e side-band in dispositivi quali, ma non limitato a, macchine server, rack di switch o appliance RAID. La criticità è nota con l’identificativo CVE-2019-6260 e referenziata pubblicamente con l’alias “pantsdown”.
Ricercatori indipendenti hanno individuato problematiche all’interno dei chip SoCs ASPEED ast2400 e ast2500, i quali realizzano ponti di comunicazione ad alta velocità (AHB bridge). Queste funzionalità di comunicazione sono gestite lacunosamente all’interno dei principali firmware BMC in circolazione (e.g. OpenBMC, AMI, SuperMicro, ..) e possono essere sfruttate da un attaccante posizionato sull’host per accedere alla memoria del sottosistema di gestione BMC fisico, ottenendone il controllo. Questo contesto può comportare possibilità di accessi abusivi alle reti di gestione e potenziali attacchi Deny/Disruption of Service.
La Fondazione OpenBMC non ha ancora confermato la problematica, tuttavia l’autore della ricerca ha reso nota l’esistenza di mitigazioni applicabili, come la disabilitazione di funzionalità SuperIO od il filtraggio di parte delle operazioni di scrittura in memoria.
L’applicabilità degli scenari di minaccia risulta ad oggi limitata, tuttavia, vista la potenziale longevità delle tipologie di dispositivi afflitti, la possibile sporadicità di aggiornamenti firmware e l’annunciato rilascio di proof-of-concept, Yoroi suggerisce di monitorare l’eventuale disponibilità di aggiornamenti BMC e pianificare l’applicazione di mitigazioni e patch di sicurezza.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
