링크세상 링크모음
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

Supermicro BMC의 취약점으로 인해 죽일 수 없는 서버 루트킷이 발생할 수 있습니다.

게티 이미지

귀하의 조직이 Supermicro의 베이스보드 관리 컨트롤러가 장착된 서버를 사용하는 경우, 공격자가 제어권을 얻기 위해 악용할 수 있는 심각도가 높은 취약점 7개를 다시 한 번 패치해야 할 때가 될 수 있습니다. 죄송합니다. 수정 사항은 수동으로 설치해야 합니다.

일반적으로 BMC로 축약되는 베이스보드 관리 컨트롤러는 데이터 센터 내부 서버의 마더보드에 납땜되는 작은 칩입니다. 관리자는 업데이트 설치, 온도 모니터링, 그에 따른 팬 속도 설정, 재부팅 중에 서버가 운영 체제를 로드할 수 있도록 하는 UEFI 시스템 펌웨어 재플래시 등 다양한 원격 관리 기능을 위해 이러한 강력한 컨트롤러를 사용합니다. BMC는 연결된 서버가 꺼져 있는 경우에도 이러한 기능과 그 이상을 제공합니다.

BMC 내부에서 코드 실행? 예

BMC의 취약점이 악용되어 서버를 제어하는 ​​데 사용될 가능성은 해커들에게도 여전히 존재합니다. 이란의 보안 회사인 Amnpardaz의 연구원들은 2021년에 해커들이 HP Enterprise의 BMC 취약점을 악용하여 맞춤형 루트킷을 설치했다고 그 해에 보고했습니다. 연구원들이 루트킷이라고 명명한 ILObleed는 HPE BMC의 모듈(Integrated Lights-Out의 약자)인 iLO 내부에 숨겨졌습니다.

ILObleed는 디스크에 저장된 데이터를 파괴하도록 프로그래밍되었습니다. 관리자가 운영 체제를 다시 설치하면 iLObleed는 그대로 유지되고 디스크 삭제 공격을 반복적으로 다시 활성화합니다. 책임이 있는 알려지지 않은 공격자는 HPE가 4년 전에 수정한 취약점을 이용하여 BMC를 제어했습니다. 지난 6월 국가안보국(NSA)은 관리자들에게 이러한 사고를 예방하기 위한 지침을 따를 것을 촉구했습니다.

보안 회사인 Binarly의 연구원들은 화요일에 구형 Supermicro BMC용 IPMI(지능형 플랫폼 관리 인터페이스) 펌웨어에서 심각도가 높은 취약점 7개를 공개했습니다. Supermicro는 권고문에서 이 취약점이 “일부 X11, H11, B11, CMM, M11 및 H12 마더보드”에 영향을 미친다고 밝혔습니다. 자문단은 또한 Binarly에게 감사를 표하고 패치 정보를 제공했습니다. 업데이트를 자동으로 설치하는 방법은 없습니다. 슈퍼마이크로는 실제 취약점을 악의적으로 악용한 사례는 전혀 없다고 밝혔다.

CVE-2023-40289로 추적되는 7가지 취약점 중 하나는 BMC 내부에서 악성 코드를 실행할 수 있지만 문제가 있습니다. 이 결함을 악용하려면 BMC를 구성하고 제어하는 ​​데 사용되는 웹 인터페이스에서 이미 획득한 관리 권한이 필요합니다. 나머지 6개의 취약점이 등장합니다. 6개 모두 관리자가 사용하는 시스템에 대한 크로스 사이트 스크립팅(XSS) 공격을 허용합니다. 익스플로잇 시나리오는 CVE-2023-40289와 함께 하나 이상을 사용하는 것입니다.

이메일에서 Binarly 창립자이자 CEO인 Alex Matrosov는 다음과 같이 썼습니다.

이 취약점을 악용하려면 BMC 웹 인터페이스에서 이미 관리 권한을 획득해야 합니다. 이를 달성하기 위해 잠재적인 공격자는 우리가 발견한 XSS 취약점을 활용할 수 있습니다. 이러한 경우 악용 경로는 다음과 같은 잠재적 시나리오와 같습니다.

1. 공격자는 악성 페이로드로 악성 링크를 준비합니다.
2. 피싱 이메일에 포함(예)
3. 이 클릭이 열리면 BMC OS 내부에서 악성 페이로드가 실행됩니다.

관리자는 SSH, IPMI, SNMP, WSMAN 및 HTTP/HTTPS를 포함한 다양한 프로토콜을 통해 Supermicro BMC와 원격으로 통신할 수 있습니다. Binarly가 발견한 취약점은 HTTP를 사용하여 악용될 수 있습니다. NSA와 기타 많은 보안 실무자들은 BMC 인터페이스를 인터넷에서 격리할 것을 강력히 촉구하고 있지만 이러한 조언이 일상적으로 무시된다는 증거가 있습니다. 최근 Shodan 검색 엔진에 대한 쿼리를 통해 IPMI 웹 인터페이스가 공개적으로 사용 가능한 Supermicro BMC 인스턴스가 70,000개 이상 드러났습니다.

Shodan 결과를 보여주는 스크린샷.
크게 하다 / Shodan 결과를 보여주는 스크린샷.

이러한 방식으로 노출된 Supermicro 인터페이스가 있는 서버에 대한 취약점을 악용하기 위한 로드맵은 다음과 같습니다.

웹 인터페이스가 인터넷에 노출된 BMC를 활용하기 위한 로드맵입니다.
크게 하다 / 웹 인터페이스가 인터넷에 노출된 BMC를 활용하기 위한 로드맵입니다.

화요일 게시물에서 Binarly 연구원은 다음과 같이 썼습니다.

첫째, 인터넷에 노출된 웹 서버 구성 요소의 취약점을 악용하여 BMC 시스템을 원격으로 손상시킬 수 있습니다. 그런 다음 공격자는 합법적인 iKVM 원격 제어 BMC 기능을 통해 또는 호스트 OS의 지속적인 제어를 허용하는 악성 펌웨어로 대상 시스템의 UEFI를 플래시하여 서버 운영 체제에 액세스할 수 있습니다. 그러면 공격자가 내부 네트워크 내에서 측면 이동하여 다른 내부 호스트를 손상시키는 것을 막을 수 있는 방법이 없습니다.

Binarly가 발견한 모든 취약점은 Supermicro용으로 개발된 IPMI 펌웨어 타사 개발자 ATEN에서 비롯되었습니다. ATEN은 6개월 전에 CVE-2023-40289를 패치했지만 이 수정 사항은 펌웨어에 적용되지 않았습니다.

Matrosov는 “이러한 취약점으로 인해 잠재적으로 영향을 받을 수 있는 다른 BMC 공급업체가 될 수 있기 때문에 이는 공급망 문제입니다.”라고 썼습니다.