Исследователи из ИБ-компании Binarly обнаружили7 уязвимостей в контроллерах управления основной платой (Baseboard Management Controller, BMC) от компании Supermicro, которые могут создать опасные последствия для организаций, использующих серверы Supermicro.
Одна из уязвимостей, идентифицированная как CVE-2023-40289 , позволяет выполнять вредоносный код внутри BMC, однако для эксплуатации ошибки требуется полученный административный доступ к веб-интерфейсу, используемому для конфигурации и управления BMC.
Другие 6 уязвимостей связаны с атаками межсайтового скриптинга (Cross Site Scripting, XSS), которые можно использовать в комбинации с CVE-2023-40289, создавая сценарии фишинговых атак на машины администраторов.
В ответ на отчёт исследователей, Supermicro заявила , что не существует автоматического способа установки исправлений, что делает процесс устранения уязвимостей более трудоемким. Отмечается, что все уязвимости происходят от стороннего разработчика программного обеспечения ATEN , разработавшего прошивку IPMI для Supermicro. Хотя ATEN уже устранил уязвимость CVE-2023-40289 6 месяцев назад, исправление так и не было внедрено в прошивку.
В сообщении Supermicro говорится, что уязвимости затрагивают “некоторые материнские платы X11, H11, B11, CMM, M11 и H12. В Supermicro сказали, что компании не известно о каком-либо злонамеренном использовании уязвимостей.
Проблема становится еще более острой из-за того, что публично доступны более 70 000 экземпляров Supermicro BMC с открытым веб-интерфейсом IPMI, как показала поисковая система Shodan. Киберпреступники с помощью обнаруженных недостатков могут получить контроль над серверами, если BMC-контроллеры не изолированы от интернета.
Цепочка атаки на сервер, доступный в Интернете, с помощью уязвимостей BMC
Здесь возникает вопрос о том, насколько высок уровень угрозы. В то время как Supermicro оценивает уязвимости в диапазоне от 7,2 до 8,3 по шкале CVSSv3, исследователи из Binarly присваивают им более высокие баллы, варьирующиеся от 8,3 до 9,6.
Специалисты указывают на то, что попытки производителя уменьшить окончательный уровень угрозы в процессе раскрытия уязвимостей могут привести к тому, что конечные пользователи получат неверную информацию при оценке определенного обновления, что в свою очередь может привести к недооценке уровня угрозы.
Инцидент также подчеркивает важность регулярного обновления и поддержания безопасности серверного оборудования, особенно в свете возрастающих угроз в области кибербезопасности и сложности современных атак.