Las fallas en los controladores BMC debilitan millones de servidores

En los ataques de ransomware, uno siempre debe estar atento al alcance de los datos robados y publicados. En 2021, el proveedor GigaByte fue víctima de dos grupos de ransomware (RansomEXX y Avos Locker) y se filtraron más de 112 GB de datos, incluida información de algunos de sus socios como Intel o AMD. Entre estos datos, los investigadores de la empresa Eclypsium han descubierto fallas críticas.

Estas vulnerabilidades se encuentran en el firmware creado por AMI (American Megatrends International) para los controladores MegaRAC BMC (controlador de administración de placa base). Estos últimos son sistemas informáticos autónomos que permiten la gestión y el mantenimiento remotos de un servidor. Los administradores pueden reinstalar sistemas operativos de forma remota, configurar o eliminar aplicaciones y controlar casi todos los demás aspectos del sistema, incluso cuando está apagado. Los BMC suelen estar integrados en la placa base del servidor y conectados a la red de gestión dedicada mediante una interfaz física o lógica independiente.

Actualizaciones para aplicar rápidamente

En su análisis de los archivos filtrados, los expertos encontraron fallas críticas (incluidas CVE-2023-34329 y CVE-2023-34330 con una puntuación de gravedad de 10) que habían estado ocultas durante años. Pueden ser explotados para obtener el estado de superusuario por parte de cualquier atacante local o remoto con acceso a una interfaz de administración remota estándar conocida como Redfish. Esta herramienta es la sucesora de la tradicional IPMI (Intelligent Platform Management Interface) y es utilizada por los principales proveedores de infraestructuras TI (AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, HPE, Huawei, Ampere Computing, ASRock, etc.), así como por el proyecto OpenBMC.

Por lo tanto, la superficie de ataque es muy grande y puede afectar a millones de servidores en el sitio, pero también a los proveedores de la nube. Los especialistas de Eclypsium discuten las diversas amenazas, "control remoto de servidores comprometidos, implementación remota de malware, ransomware y firmware implantando o modificando componentes de la placa base (BMC o potencialmente BIOS / UEFI), daño físico potencial a los servidores (sobrevoltaje) y bucles de reinicio indefinidos". Los expertos incluso hablan de ataques a la cadena de suministro. AMI ha lanzado parches para estas fallas críticas y aconseja a las empresas afectadas que actualicen el firmware lo antes posible.