آسیب پذیری بسیار خطرناک سوپرمیکرو

این آسیب پذیری در مورد تراشه WPCM450 بوده که در BMC مادربورد شرکت سوپرمیکرو قرار دارد.  محققان تیم امنیت CARInet  در حوزه مقابله با حوادث، متوجه یک فایل باینری در BMC مادربور سوپرمیکرو شده اند که در آن رمزعبور لاگین ها در یک فایل Cleartext ذخیره شده و برای دسترسی به آن کافی است به سادگی به پورت 49152 متصل شده و آن را دانلود کرد.

کنترلر BMC، قسمت اصلی میکروکنترلر می باشد که روی مادربورد سرور، سرور بلید ویا بسترهای مخابراتی (telecom platform) قرار دارد.  BMC می تواند از طریق یک سریال باس ساده به پردازنده اصلی و یا هر قطعه دیگری از برد متصل شود.

کنترلر مدیریت بردهای اساسی (BMC) قطعه ای از پروتکل رابط مدیریت پلتفرم هوشمند (IPMI) است که پروتکل ارتباطی را تعریف کرده و در آن مدیریت سرور می تواند بوسیله IPMI به BMC که در کامپیوتر ذخیره شده است از طریق یک رابط وب و یا پورت 49152  دسترسی داشته باشد.

در این آسیب پذیری مهاجم برای نفوذ به سرورهای آسیب پذیر، از طریق پورت اسکنینگ و دسترسی به پورت  49152 و شناسایی سرورهایی که می توان از آنها سوء استفاده کرد (از آنها دسترسی گرفت)  ،رمزعبورهای لاگین را که در یک فایل باینری در جایی با عنوان  "GET/PSBlock" به صورت Cleartext در مادربرد ذخیره شده است، می تواند سیستم ها را مورد تهدید قرار دهند.

زمانی که توسط موتور جستجوگر شودان در بستر اینترنت اسکن انجام می شود (شودان موتور جستجوگری برای سیستم های نهان می باشد (embedded systems))، حدود 31964  سیستم آسیب پذیر تا کنون یافت شده است. سیستم هایی هم که آسیب پذیر نیستند در فضای مجازی سازی شده نصب شده اند.

" آنچه در بالا مطرح شده است به این معنی است که تا کنون 31964 سیستم در اینترنت وجود دارد که رمزعبورهای آنها در معرض عموم می باشد." این موضوع توسط زاچاری ویخوم نوشته شده است. زاچاری مهندس ارشد تیم امنیتی مقابله با حوادث CLARInet  می باشد.

طی تحلیلی که در بر روی رمزعبورها انجام شده است، مشخص شده که هزاران رمزعبور قابل حدس بوده و یا به صورت پیش فرض خود بوده اند.

این مسئله در جایی باعث حیرت بیش از پیش می شود که بخواهیم نگاه آماری به رمزعبورها داشته باشیم. در میان این رمزعبورها، 3296 تا به صورت پیش فرض بوده است. مشکل دیگر این است که کابران رمزعبورهای بلند را نمی پسندند و به همین علت  از رمزهای کوتاه استفاده می کنند. از طرفی مشاهده شده که رمزعبور بسیاری از سیستم ها "password" بوده است.

مسئله قابل توجه دیگر این است که کاربران از نسخه های قدیمی هسته لینوکس استفاده می کنند. به عنوان مثال 23380 تا از کاربران از نسخه 2.4.31.x ، 112883 تا از کاربران از نسخه 2.4.30.x و 710046 تا هم از نسخه 2.4.19.x  استفاده می کنند.

نسخه پچ مدیران سرورها قرار داده شده که از طرف سازنده پیشنهاد شده است برای بروزرسانی پچ،سیستم نیازمند این است که با firmware جدید فلش شود.

برای پچ کردن این آسیب پذیری باید Firmware مادربرد را بروزرسانی کنید. در آدرس زیر سرورهای آسیب پذیر لیست شده اند.

http://0bin.net/paste/hIEDdqEmuy+nPPje#ohfywdDqTxPLGCd4NpsKFt9Gn183TRHHNmlIW4AmNQM=

برای تعمیر موقتی، ادمین ها باید تمامی پردازش های جهانی plug & play و مرتبط با آن را از کار بیاندازند و از بسترهای ارتباطی امن برای تجهیزات آسیب پذیر استفاده کنند.