imágenes falsas
En enero de 2019, un investigador reveló una vulnerabilidad devastadora en uno de los dispositivos más potentes y sensibles integrados en servidores y estaciones de trabajo modernos. Con una clasificación de gravedad de 9,8 sobre 10, la vulnerabilidad afectó a una amplia gama de controladores de gestión de placa base (BMC) fabricados por varios fabricantes. Estas pequeñas computadoras soldadas en la placa base de los servidores permiten que los centros de la nube, y en ocasiones sus clientes, optimicen la administración remota de grandes flotas de computadoras. Permiten a los administradores reinstalar sistemas operativos, instalar y desinstalar aplicaciones de forma remota y controlar casi todos los demás aspectos del sistema, incluso cuando está apagado.
Pantalones abajo, como el investigador apodó la amenaza, permitió a cualquiera que ya tuviera algún acceso al servidor una oportunidad extraordinaria. Explotando la falla de lectura/escritura arbitraria, el pirata informático podría convertirse en un superadministrador que persistentemente tenía el nivel más alto de control para todo un centro de datos.
La industria se moviliza… excepto uno
Durante los próximos meses, varios proveedores de BMC emitieron parches y avisos que les decía a los clientes por qué parchear la vulnerabilidad era crítico.
Ahora, los investigadores de la firma de seguridad Eclypsium informaron un hallazgo inquietante: por razones que siguen sin respuesta, un BMC ampliamente utilizado del proveedor de soluciones de centros de datos Quanta Cloud Technology, mejor conocido como QCTpermaneció sin parchear contra la vulnerabilidad tan recientemente como el mes pasado.
Como si la inacción de QCT no fuera suficiente, la postura actual de la empresa también sigue siendo desconcertante. Después de que Eclypsium informara de forma privada sus hallazgos a QCT, la empresa de soluciones respondió que finalmente había solucionado la vulnerabilidad. Pero en lugar de publicar un aviso y hacer público un parche, como hacen casi todas las empresas cuando solucionan una vulnerabilidad crítica, le dijo a Eclypsium que estaba proporcionando actualizaciones de forma privada, cliente por cliente. Como esta publicación estaba a punto de publicarse, “CVE-2019-6260”, la designación de la industria para rastrear la vulnerabilidad, no apareció en el sitio web de QCT.
En un correo electrónico, el vicepresidente de tecnología de Eclypsium, John Loucaides, escribió:
Eclypsium continúa encontrando que los servidores personalizados (p. ej., Quanta) siguen sin parchear las vulnerabilidades desde 2019. Esto está afectando a una gran cantidad de dispositivos de una gran cantidad de proveedores de la nube. El problema no es una sola vulnerabilidad, es el sistema que mantiene los servidores en la nube viejos y vulnerables. Quanta acaba de lanzar el parche para estos sistemas y no lo proporcionaron para su verificación. De hecho, su respuesta para nosotros fue que solo estaría disponible a pedido de soporte”.
Múltiples representantes de Quanta no respondieron a dos correos electrónicos enviados durante días consecutivos solicitando la confirmación del cronograma de Eclypsium y una explicación de su proceso y políticas de aplicación de parches.
Actual, pero no parcheado
A entrada en el blog Eclypsium publicado el jueves muestra el tipo de ataque que es posible llevar a cabo en QCT BMC usando firmware disponible en QCT actualizar página desde el mes pasado, más de tres años después de que Pantsdown saliera a la luz.
de eclypsium video adjunto muestra a un atacante obteniendo acceso al BMC después de explotar la vulnerabilidad para modificar su servidor web. Luego, el atacante ejecuta una herramienta disponible públicamente que usa Pantsdown para leer y escribir en el firmware de BMC. La herramienta permite al atacante proporcionar al BMC un código que abre un shell web inverso cada vez que un administrador legítimo actualiza una página web o se conecta al servidor. La próxima vez que el administrador intente realizar cualquiera de estas acciones, fallará con un error de conexión.
Detrás de escena, sin embargo, y sin que el administrador lo sepa, se abre el shell inverso del atacante. A partir de aquí, el atacante tiene el control total del BMC y puede hacer cualquier cosa con él que un administrador legítimo pueda, incluido establecer un acceso continuo o incluso bloquear permanentemente el servidor.
Demostración de ataque BMC
El poder y la facilidad de uso del exploit Pantsdown no son nuevos. Lo que es nuevo, contrariamente a las expectativas, es que estos tipos de ataques siguen siendo posibles en los BMC que usaban el firmware QCT proporcionado el mes pasado.
La decisión de QCT de no publicar una versión parcheada de su firmware o incluso un aviso, junto con el silencio de la radio con los reporteros haciendo preguntas legítimas, debería ser una señal de alerta. Los centros de datos o los clientes de centros de datos que trabajan con los BMC de esta empresa deben verificar la integridad de su firmware o comunicarse con el equipo de soporte de QCT para obtener más información.
Incluso cuando los BMC provienen de otros fabricantes, los centros en la nube y los clientes de los centros en la nube no deben asumir que están parcheados contra Pantsdown.
“Este es un problema grave y no creemos que sea un hecho único”, escribió Loucaides. “Hemos visto dispositivos implementados actualmente de cada OEM que siguen siendo vulnerables. La mayoría de ellos tienen actualizaciones que simplemente no se instalaron. Sin embargo, los sistemas de Quanta y su respuesta los diferenciaron”.