Security-Analyse

Unsichere BMC machen Enterprise Server angreifbar

Baseboard Management Controller (BMC) helfen Admins, Enterprise Server zu verwalten. Nicht selten werden sie allerdings zu einem Einfallstor für ungebetene Gäste. HPE-Kunden können ein Lied davon singen.
Von 
CSO | 17. Januar 2022 13:19 Uhr
Mehrere tausend HPE Enterprise Server sind von einer Sicherheitslücke betroffen. Das sollten Sie jetzt wissen.
Mehrere tausend HPE Enterprise Server sind von einer Sicherheitslücke betroffen. Das sollten Sie jetzt wissen.
Foto: Chor muang - shutterstock.com

Server remote verwalten und überwachen zu können, auch wenn deren Betriebssystems nicht mehr reagieren, ist für IT-Administratoren in Unternehmen unerlässlich. Alle Serverhersteller bieten diese Funktionalität an - realisiert durch eine Reihe von Chips, die unabhängig vom Rest des Servers und des Betriebssystems laufen. Diese werden als Baseboard Management Controller (BMC) bezeichnet. Sind die BMCs nicht ordnungsgemäß abgesichert, können sie von Cyberkriminellen genutzt werden, um hartnäckige und schwer zu entdeckende Rootkits einzuschleusen.

Im Laufe der Jahre haben Sicherheitsforscher immer wieder Schwachstellen in den BMC-Implementierungen verschiedener Serverhersteller gefunden und aufgezeigt - einige davon wurden von Angreifern ausgenutzt. Ein Beispiel für ein bösartiges BMC-Implantat ist "iLOBleed", das von einem iranischen Cybersicherheitsunternehmen entdeckt wurde und auf Gen8- und Gen9-Server von Hewlett Packard Enterprise abzielt.

Einer Analyse des Sicherheitsanbieters Eclypsium zufolge, sind die BMCs von 7.799 HPE Integrated Lights-Out (iLO)-Servern über das öffentliche Netz verfügbar. In den meisten Fällen kommt darauf nicht die neueste Firmware-Version zum Einsatz. Die Anzahl der BMC-Schnittstellen, die über das Internet angegriffen werden können, dürfte bei allen Serveranbietern insgesamt in die Zehn- oder sogar Hunderttausende gehen.

"BMC-Schwachstellen treten häufig auf und werden oft übersehen, wenn es um Updates geht", schreiben die Eclypsium-Forscher in einem Blog-Post. "Schwachstellen und Fehlkonfigurationen können sich bereits früh in die Lieferkette einschleichen, noch bevor ein Unternehmen den Server überhaupt in Besitz nimmt. Probleme in der Lieferkette können auch nach der Bereitstellung zum Beispiel durch anfällige Patches oder kompromittierte Update-Prozesse entstehen."

iLOBleed: Das steckt dahinter

HPEs iLO-Technologie kommt seit über 15 Jahren in den Servern des Unternehmens zum Einsatz. Implementiert ist sie in Form eines ARM-Chips, der über einen eigenen Netzwerk-Controller, RAM und Flash-Speicher verfügt. Seine Firmware enthält ein eigenes Betriebssystem, das unabhängig vom Hauptbetriebssystem des Servers läuft. Wie alle BMCs ist HPE iLO im Wesentlichen ein kleiner Computer, der einen größeren, den Server selbst nämlich, steuert.

Administratoren können auf iLO über ein webbasiertes Panel zugreifen, das über den dedizierten Netzwerkanschluss des BMC bereitgestellt wird. Ein anderer Weg zum selben Ziel führt über Tools, die mit dem BMC per IPMI-Protokoll kommunizieren. Administratoren können iLO verwenden, um:

  • Server an- und abzuschalten,

  • verschiedene Hardware- und Firmware-Einstellungen zu optimieren,

  • auf die Systemkonsole zuzugreifen,

  • das Hauptbetriebssystem über ein Image remote neu aufzusetzen,

  • Hardware- und Softwaresensoren zu überwachen sowie

  • BIOS/UEFI-Updates zu verteilen.

Es steht die Vermutung im Raum, dass iLOBleed von einer APT-Hackergruppe entwickelt wurde und mindestens seit dem Jahr 2020 eingesetzt wird. Dabei sollen bekannte Schwachstellen wie CVE-2018-7078 und CVE-2018-7113 ausgenutzt werden, um über bösartige Module eine Funktion zum Löschen der Festplatte in die iLO-Firmware zu injizieren. Einmal installiert, blockiert das Rootkit auch Versuche, die Firmware zu aktualisieren - meldet jedoch zu Täuschungszwecken, dass die neueste Version erfolgreich installiert wurde. Dennoch gibt es Möglichkeiten, eine nicht erfolgte Firmware-Aktualisierung zu erkennen. Zum Beispiel sollte der Anmelde-Screen der neuesten Version anders aussehen. Ist das nicht der Fall ist, wurde die Aktualisierung verhindert - auch wenn die aktuelle Firmware-Version anzeigt wird.

Erwähnenswert ist darüber hinaus, dass es möglich ist, die iLO-Firmware zu infizieren, wenn ein Angreifer Root-Rechte für das Host-Betriebssystem erhält. Dies ermöglicht es ebenfalls, die Firmware zu flashen. Wenn die iLO-Firmware des Servers keine bekannten Sicherheitslücken aufweist, ist es außerdem möglich, die Firmware auf eine anfällige Version zurückzusetzen. Auf Gen10-Servern ist es zwar möglich, solche Downgrade-Angriffe über die Einstellungen zu verhindern - die Funktion ist jedoch nicht standardmäßig aktiviert und bei älteren Server-Generationen nicht vorhanden.

"Angreifer könnten die BMC-Funktionen auf vielfältige Art und Weise missbrauchen", schreiben die Eclypsium-Forscher. "iLOBleed demonstriert, wie sich BMCs dazu nutzen lassen, Server-Festplatten zu löschen. Der oder die Angreifer könnten die Daten jedoch auch stehlen, zusätzliche Payloads einschleusen oder den Server komplett deaktivieren. Wichtig ist dabei zu wissen: Die Kompromittierung physischer Server kann nicht nur Workloads, sondern ganze Clouds in Gefahr bringen."

Historische BMC-Angriffe

  • 2016 dokumentierten Forscher von Microsoft die Aktivitäten einer APT-Gruppe namens "Platinum". Die Cyberkriminellen nutzten Intels Active-Management-Technologie (AMT) um einen verdeckten Kommunikationskanal zur Übertragung von Dateien einzurichten. AMT ist eine Komponente der Intel Management Engine, einer BMC-ähnlichen Lösung, die in den meisten Desktop- und Server-CPUs von Intel enthalten ist. Das Problem daran: das Gros der Firewall-Lösungen und Netzwerküberwachungs-Tools ist nicht darauf ausgelegt, IPMI-Verkehr im Allgemeinen zu untersuchen, wodurch eine Detektion umgangen werden konnte.

  • 2018 berichtete BleepingComputer über Angriffe auf Linux-Server mit einer Ransomware namens JungleSec. Die Malware soll Betroffenen zufolge über unsichere IPMI-Schnittstellen und unter Verwendung von Standard-Herstelleranmeldeinformationen eingeschleust worden sein.

  • 2019 wurden mehrere Schwachstellen in der BMC-Implementierung von Supermicro-Servern entdeckt. Mehr als 47.000 Supermicro-BMCs in 90 verschiedenen Ländern waren über das Internet angreifbar.

  • 2020 demonstrierte ein Sicherheitsforscher im Rahmen eines Penetrationstests, wie sich unsichere BMC-Schnittstellen in der Openstack-Cloud eines Unternehmens ausnutzen lassen, um virtualisierte Server zu übernehmen.

"iLOBleed ist eine bedeutsame Fallstudie nicht nur mit Blick auf die Sicherheit von BMCs, sondern für die Firmware-Sicherheit im Allgemeinen", so die Eclypsium-Forscher. "Viele Unternehmen haben heute Konzepte wie Zero Trust übernommen, die die Notwendigkeit einer unabhängigen Bewertung und Überprüfung der Sicherheit aller Anlagen und Aktionen vorschreiben. Doch in den meisten Fällen sind diese Ideen nicht bis zum grundlegenden Code der Geräte vorgedrungen."

BMC-Attacken verhindern

Die Standardsicherheitspraxis für IPMI-Schnittstellen - ob nun eingebaut oder Expansion Cards hinzugefügt - besteht darin, sie nicht direkt dem Internet oder gar dem Hauptnetzwerk des Unternehmens auszusetzen. BMCs sollten in einem eigenen isolierten Netzwerksegment platziert werden, das für Verwaltungszwecke vorgesehen ist. Der Zugriff auf dieses Segment kann durch den Einsatz von VLANs, Firewalls, VPNs und ähnlichen Sicherheitstechnologien eingeschränkt werden.

Unternehmen sollten sich regelmäßig bei ihren Serverherstellern nach Updates für die BMC-Firmware erkundigen und generell die CVEs verfolgen, die in der Firmware aller kritischen Anlagen entdeckt wurden. Firmware-Aktualisierungen und Schwachstellen-Scan zu vernachlässigen, erzeugt einen großen, blinden Fleck innerhalb der Unternehmensnetzwerke.

Wenn die BMC-Firmware die Option bietet, ältere Firmware-Versionen beziehungsweise Downgrades - zu blockieren (wie im Fall der HPE Gen10/iLO5-Server), sollte diese Option aktiviert werden. Ebenso wie andere Firmware-Sicherheitsfunktionen, etwa die Überprüfung digitaler Signaturen. Standard-Anmeldeinformationen für BMC-Schnittstellen und Admin-Panels sollten unbedingt geändert werden und Sicherheitsfunktionen wie Verschlüsselung und Authentifizierung immer aktiviert sein.

Schließlich verfügen viele BMCs über Protokollierungsfunktionen, mit denen Änderungen an Servern überwacht und über Spezifikationen wie Redfish und andere XML-Schnittstellen aufgezeichnet werden können. Auch diese Protokolle sollten regelmäßig überprüft werden, um unbefugte Änderungen zu erkennen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Lucian Constantin arbeitet als Korrespondent für den IDG News Service.