La falla critica in MI MegaRAC permette di dirottare e bloccare i server.
“La scoperta di una vulnerabilità critica come CVE-2024-54085 nei controller BMC di AMI evidenzia ancora una volta la fragilità delle infrastrutture IT quando si tratta di gestione remota”, commenta Sandro Sana, Cyber security division manager.
“La vulnerabilità ha la seguente classificazione: Weakness enumeration ‘Authentication Bypass by Spoofing’. Quindi molto seria e con un impatto altrettanto grave, in quanto potrebbe portare a una compromissione ‘completa’, in termini sia fisici, sia di confidenzialità, integrità e disponibilità”, conferma Enrico Morisi, Ict Security manager. Ecco come mitigare il rischio.
Indice degli argomenti
Falla critica in MI MegaRAC
Una nuova falla di gravità critica, riscontrata nel software MegaRAC Baseboard Management Controller (BMC) di American Megatrends International (Ami), può consentire agli aggressori di dirottare e potenzialmente bloccare i server vulnerabili.
Inoltre, “lo score di severità assegnato è massimo, quindi estremamente critico (CVSS 10). Ma, in un’ottica di vulnerability management, al fine di assegnare le opportune priorità, andrebbe sempre contestualizzato su uno specifico stakeholder (Stakeholder-Specific Vulnerability Categorization, SSVC) e anche valutato sulla base della cosiddetta ‘exploitability in the wild’ (Exploit Prediction Scoring System, EPSS) con l’obiettivo, appunto, di capire se la vulnerabilità sia effettivamente già sfruttata in scenari del mondo reale”, spiega Morisi.
La falla e le funzionalità di MI MegaRAC
MegaRAC BMC offre funzionalità di gestione remota del sistema “a luci spente” e “fuori banda” che aiutano gli amministratori a risolvere i problemi dei server, come se fossero fisicamente davanti ai dispositivi.
Il firmware è utilizzato da oltre una dozzina di fornitori di server che forniscono apparecchiature a molti fornitori di servizi cloud e data center, tra cui HPE, Asus, ASRock e altri.
Gli aggressori remoti non autenticati possono sfruttare questa falla di sicurezza di massima gravità in attacchi di bassa complessità che non richiedono l’interazione dell’utente.
I dettagli
“Un aggressore locale o remoto può sfruttare la vulnerabilità accedendo alle interfacce di gestione remota (Redfish) o all’host interno all’interfaccia BMC (Redfish)”, ha spiegato Eclypsium in un report.
“Lo sfruttamento di questa vulnerabilità consente a un aggressore di controllare in remoto il server compromesso, di distribuire in remoto malware, ransomware, manomissione del firmware, bricking dei componenti della scheda madre (BMC o potenzialmente BIOS/UEFI), potenziali danni fisici al server (sovratensione/bricking) e cicli di riavvio indefiniti che la vittima non può fermare”.
I ricercatori di sicurezza di Eclypsium hanno scoperto il bypass dell’autenticazione CVE-2024-54085 analizzando le patch rilasciate dall’AMI per CVE-2023-34329, un altro bypass dell’autenticazione che la società di cybersicurezza ha rivelato nel luglio 2023.
Eclypsium ha confermato che HPE Cray XD670, Asus RS720A-E11-RS24U e ASRockRack sono vulnerabili agli attacchi CVE-2024-54085 se non vengono applicate le patch, ma ha anche aggiunto che “è probabile che ci siano altri dispositivi e/o fornitori interessati”.
Utilizzando Shodan, i ricercatori di sicurezza hanno individuato oltre 1.000 server online potenzialmente esposti agli attacchi via Internet.
Le altre falle
Nell’ambito della loro ricerca sulle vulnerabilità di MegaRAC (collettivamente indicate come BMC&C), gli analisti di Eclypsium hanno rivelato altre cinque falle nel dicembre 2022 e nel gennaio 2023 (CVE-2022-40259, CVE-2022-40242, CVE-2022-2827, CVE-2022-26872 e CVE-2022-40258) che possono essere sfruttate per dirottare, bloccare o infettare da remoto con malware i server compromessi.
Nel luglio 2023 è stata inoltre individuata una vulnerabilità di code injection (CVE-2023-34330) che può essere utilizzata negli attacchi per iniettare codice dannoso attraverso le interfacce di gestione remota di Redfish esposte all’accesso remoto e che può essere concatenata con i bug precedentemente scoperti.
In particolare, CVE-2022-40258, che riguarda gli hash deboli delle password per Redfish & API, può aiutare gli aggressori a decifrare le password di amministratore per gli account di amministrazione del chip BMC, rendendo l’attacco ancora più semplice.
Come mitigare il rischio
Eclypsium ha dichiarato che la falla CVE-2024-54085 per il bypass dell’autenticazione non è stata utilizzata in attacchi e che non sono stati trovati exploit in natura.
Ma ha anche aggiunto che la creazione di un exploit non è “impegnativa” dato che i binari del firmware non sono crittografati.
“I BMC sono componenti fondamentali per l’amministrazione dei server, ma la loro esposizione a minacce così gravi dimostra quanto sia essenziale adottare un approccio rigoroso alla sicurezza, che includa segmentazione di rete, hardening e monitoraggio costante“, spiega Sandro Sana.
Occorre applicare quanto prima le patch rilasciate l’11 marzo, da AMI, Lenovo e HPE, per non esporre online le istanze AMI MegaRAC e a monitorare i registri dei server alla ricerca di attività sospette.
“Fatte salve le priorità assegnate e tenuto conto del downtime necessario, è evidente che le patch rilasciate dal vendor siano da applicare con la massima consentita urgenza”, conferma Morisi.
Oltre all’implementazione di un processo completo e attentamente progettato di vulnerability management, “occorrerebbe prestare attenzione, come suggerito anche da Eclypsium, a non esporre mai su Internet le ‘management console, raccomandazione ampiamente disattesa stando alle evidenze di Shodan, gestendo opportunamente gli accessi secondo i principi del least privilege e del need to know“, mette in guardia Morisi.
Inoltre è di fondamentale importanza “la conduzione di security testing periodici, avvalendosi anche di offensive team diversi, essendo le attività di penetration testing pesantemente influenzate dalle competenze e dall’esperienza dei professionisti che le svolgono, nonché dal loro estro e dalla loro fantasia: il pentesting è, di fatto, un’arte“, sottolinea Morisi.
Sono, infine, da tenere in seria considerazione, secondo Morisi, “le linee guida di NSA e CISA per l’hardening dei sistemi BMC (Baseboard Management Controllers) tipicamente orientati al remote monitoring dei parametri fisici di un asset e alla sua conseguente gestione”.
La catena di fornitura
A quanto ci risulta, la vulnerabilità riguarda solo lo stack software BMC di AMI. Tuttavia, poiché AMI è al vertice della catena di fornitura dei BIOS, l’impatto a valle riguarda oltre una dozzina di produttori.
Da non sottovalutare poi è “la ripercussione sulla supply chain, che ci ricorda l’importanza della gestione del rischio delle terze parti, tema ampiamente ripreso e rinvigorito anche dalla galassia delle normative europee”, evidenzia Morisi.
Infatti “AMI ha rilasciato le patch ai clienti dei produttori di computer OEM. Questi ultimi devono incorporare le correzioni negli aggiornamenti e pubblicare le notifiche ai loro clienti. Si noti che la correzione di queste vulnerabilità è un’operazione non banale, che richiede il fermo del dispositivo”.
Infine “in attesa che gli OEM rilascino gli aggiornamenti, le organizzazioni dovrebbero limitare l’accesso ai BMC e rafforzare le misure di controllo per mitigare i rischi”, conclude Sana.
