Los BMC omnipotentes de Quanta siguen siendo vulnerables a las amenazas críticas de Pantsdown
Getty Images En enero de 2019, un investigador reveló una vulnerabilidad devastadora en uno de los dispositivos más potentes y sensibles integrados en servidores y estaciones de trabajo modernos. Con una gravedad de 9,8 sobre 10, la vulnerabilidad afectó a una variedad de controladores de administración de placa base de varios proveedores. Estas pequeñas computadoras, soldadas a la placa base de los servidores, permiten que los centros en la nube, y en ocasiones sus clientes, optimicen la administración remota de grandes flotas de computadoras. Permiten a los administradores reinstalar sistemas operativos, instalar y desinstalar aplicaciones de forma remota y controlar casi todos los demás aspectos del sistema, incluso cuando está apagado. Pantsdown, como llamó el investigador a la amenaza, presentaba una oportunidad excepcional para cualquiera que ya tuviera acceso al servidor. Al explotar el error aleatorio de lectura/escritura, el pirata informático podría convertirse en un superadministrador con el máximo control sobre todo un centro de datos en todo momento.
La industria se está movilizando… excepto uno
Durante los meses siguientes, varios proveedores de BMC publicaron parches y avisos que explicaban a los clientes por qué era fundamental corregir la vulnerabilidad. Los investigadores de la empresa de seguridad Eclypsium ahora informaron un resultado preocupante: un BMC generalizado del proveedor de soluciones del centro de datos Quanta permaneció sin parchear contra la vulnerabilidad por razones que aún no se han aclarado. Como si la inacción de Quanta no fuera suficiente, la postura actual de la empresa también sigue siendo confusa. Después de que Eclypsium informara de forma privada sus hallazgos a Quanta, la empresa de soluciones respondió que finalmente había solucionado la vulnerabilidad. Pero en lugar de emitir un aviso y lanzar un parche, como hacen casi todas las empresas cuando solucionan una vulnerabilidad crítica, le dijo a Eclypsium que proporciona actualizaciones de forma privada de cliente a cliente. Cuando esta publicación estaba a punto de hacerse pública, «CVE-2019-6260», la etiqueta de la industria utilizada para rastrear la vulnerabilidad, no apareció en el sitio web de Quanta. En un correo electrónico, el vicepresidente de tecnología de Eclypsium, John Loucaides, escribió:
Eclypsium también señala que los servidores personalizados (por ejemplo, Quanta) no recibieron parches hasta 2019 para detectar vulnerabilidades. Esto afecta a una gran cantidad de dispositivos de una gran cantidad de proveedores de nube. El problema no es ninguna vulnerabilidad, es el sistema que hace que los servidores en la nube sean viejos y vulnerables. Quanta acaba de lanzar el parche para estos sistemas y no lo ha puesto a disposición para su revisión. De hecho, su respuesta para nosotros fue que solo estarían disponibles a pedido de soporte”.
Varios representantes de Quanta no respondieron a dos correos electrónicos enviados en días consecutivos solicitando la confirmación del cronograma de Eclypsium y una explicación del proceso y las políticas de aplicación de parches. Anuncio publicitario
Actual pero no parcheado
Una publicación de blog de Eclypsium publicada el jueves muestra el tipo de ataques que se pueden realizar en los BMC de Quanta que ejecutan firmware que ha estado disponible en la página de actualización de Qunta desde el mes pasado, más de tres años después de que apareciera Pantsdown. El video adjunto de Eclypsium muestra a un atacante obteniendo acceso al BMC después de explotar la vulnerabilidad para modificar su servidor web. Luego, el atacante ejecuta una herramienta disponible públicamente que usa Pantsdown para leer y escribir el firmware de BMC. La herramienta permite al atacante alimentar el BMC con un código que abre un shell web inverso cuando un administrador legítimo actualiza una página web o se conecta al servidor. La próxima vez que el administrador intente realizar cualquiera de las acciones, fallará con un error de conexión. Sin embargo, entre bastidores y sin que el administrador lo sepa, se abre el shell inverso del atacante. De ahora en adelante, el atacante tiene control total sobre el BMC y puede usarlo para hacer cualquier cosa que un administrador legítimo pueda hacer, incluida la configuración de acceso persistente o incluso bloquear el servidor de forma permanente. Demostración de BMC Attack El poder y la facilidad de uso del exploit Pantsdown no son nada nuevo. Lo nuevo es que, contrariamente a las expectativas, este tipo de ataques siguen siendo posibles en BMC que utilizan el firmware de Quanta, que se lanzó el mes pasado. La decisión de Quanta de no lanzar una versión parcheada de su firmware, o incluso una recomendación, debería ser una señal de alerta, dado el silencio de la radio con los reporteros haciendo preguntas legítimas. Los centros de datos o los clientes de centros de datos que utilizan los BMC de esta empresa deben verificar la integridad de su firmware o ponerse en contacto con el equipo de soporte de Quanta para obtener más información. Incluso si los BMC son de otros fabricantes, los centros en la nube y los clientes de los centros en la nube no deben asumir que están parcheados contra Pantsdown. “Este es un problema serio y no creemos que sea un evento único”, escribió Loucaides. “Hemos visto dispositivos implementados actualmente de todos los OEM que siguen siendo vulnerables. La mayoría de ellos tienen actualizaciones que simplemente no se instalaron. Sin embargo, los sistemas de Quanta y su respuesta los diferencian de los demás”.