Hace dos años, los delincuentes de ransomware violaron al fabricante de hardware Gigabyte y descargaron más de 112 gigabytes de datos que incluían información de algunos de sus socios más importantes de la cadena de suministro, incluidos Intel y AMD. Ahora los investigadores advierten que la información filtrada reveló lo que podría equivaler a vulnerabilidades críticas de día cero que podrían poner en peligro grandes sectores del mundo informático.
Las vulnerabilidades residen dentro del firmware que AMI, con sede en Duluth, Georgia, fabrica para los BMC (controladores de administración de placa base). Estas pequeñas computadoras soldadas en la placa base de los servidores permiten que los centros de la nube, y en ocasiones sus clientes, optimicen la administración remota de grandes flotas de computadoras. Permiten a los administradores reinstalar sistemas operativos, instalar y desinstalar aplicaciones de forma remota y controlar casi todos los demás aspectos del sistema, incluso cuando está apagado. Los BMC brindan lo que se conoce en la industria como administración de sistemas «apagada».
Apaga las luces para siempre
Los investigadores de la empresa de seguridad Eclypsium analizaron el firmware de AMI filtrado en el ataque de ransomware de 2021 e identificaron vulnerabilidades que habían estado al acecho durante años. Pueden ser explotados por cualquier atacante local o remoto con acceso a una interfaz de administración remota estándar de la industria conocida como Redfish para ejecutar código malicioso que se ejecutará en todos los servidores dentro de un centro de datos.
Hasta que las vulnerabilidades se reparen mediante una AMI de actualización distribuida a los clientes en abril, proporcionan un medio para que los piratas informáticos maliciosos, tanto motivados financieramente como patrocinados por el estado, obtengan el estado de superusuario dentro de algunos de los entornos de nube más sensibles del mundo. A partir de ahí, los atacantes podrían instalar ransomware y malware de espionaje que se ejecuta en algunos de los niveles más bajos dentro de las máquinas infectadas. Los atacantes exitosos también podrían causar daños físicos a los servidores o ciclos de reinicio indefinidos que la organización víctima no puede interrumpir. Eclypsium advirtió que tales eventos podrían conducir a escenarios de «luces apagadas para siempre».
En una publicación publicada el jueves, los investigadores de Eclypsium escribieron:
Estas vulnerabilidades varían en gravedad desde Alto a críticoincluido ejecución remota de código no autenticado y acceso no autorizado a dispositivos con permisos de superusuario. Pueden ser explotados por atacantes remotos que tengan acceso a las interfaces de administración remota de Redfish o desde un sistema operativo host comprometido. Redfish es el sucesor del IPMI tradicional y proporciona un estándar de API para la gestión de la infraestructura de un servidor y otra infraestructura compatible con los centros de datos modernos. Redfish es compatible con prácticamente todos los principales proveedores de servidores e infraestructura, así como con el proyecto de firmware OpenBMC que se usa a menudo en entornos modernos de hiperescala.
Estas vulnerabilidades representan un riesgo importante para la cadena de suministro de tecnología que subyace a la computación en la nube. En resumen, las vulnerabilidades en un proveedor de componentes afectan a muchos proveedores de hardware, lo que a su vez puede transmitirse a muchos servicios en la nube. Como tales, estas vulnerabilidades pueden representar un riesgo para los servidores y el hardware que una organización posee directamente, así como para el hardware que admite los servicios en la nube que utilizan. También pueden afectar a los proveedores aguas arriba de las organizaciones y deben discutirse con terceros clave como parte de la debida diligencia general de gestión de riesgos de la cadena de suministro.
Los BMC están diseñados para proporcionar a los administradores un control casi total y remoto sobre los servidores que administran. AMI es un proveedor líder de BMC y firmware de BMC para una amplia gama de proveedores de hardware y proveedores de servicios en la nube. Como resultado, estas vulnerabilidades afectan a una gran cantidad de dispositivos y podrían permitir a los atacantes obtener el control o causar daños no solo a los dispositivos, sino también a los centros de datos y la infraestructura de servicios en la nube. Las mismas fallas lógicas pueden afectar a los dispositivos en centros de datos alternativos en diferentes regiones geográficas que forman parte del mismo proveedor de servicios, y pueden desafiar las suposiciones que los proveedores de la nube (y sus clientes) suelen hacer en el contexto de la gestión de riesgos y la continuidad de las operaciones.
Los investigadores continuaron señalando que si pudieran localizar las vulnerabilidades y escribir exploits después de analizar el código fuente disponible públicamente, no hay nada que impida que los actores malintencionados hagan lo mismo. E incluso sin acceso al código fuente, las vulnerabilidades aún podrían identificarse descompilando imágenes de firmware de BMC. No hay indicios de que las partes malintencionadas lo hayan hecho, pero tampoco hay forma de saber que no lo han hecho.
Los investigadores notificaron en privado a AMI sobre las vulnerabilidades y la empresa creó parches de firmware, que están disponibles para los clientes a través de una página de soporte restringida. AMI también ha publicado un aviso aquí.
Las vulnerabilidades son:
- CVE-2023-34329, una omisión de autenticación a través de encabezados HTTP que tiene una calificación de gravedad de 9.9 de 10, y
- CVE-2023-34330, Inyección de código a través de Dynamic Redfish Extension. Su índice de gravedad es de 8,2.