Los BMC omnipotentes de Quanta siguen siendo vulnerables a la amenaza crítica de Pantsdown

imágenes falsas

En enero de 2019, un investigador reveló una vulnerabilidad devastadora en uno de los dispositivos más potentes y sensibles integrados en servidores y estaciones de trabajo modernos. Con una clasificación de gravedad de 9,8 sobre 10, la vulnerabilidad afectó a una amplia gama de controladores de gestión de placa base (BMC) fabricados por varios fabricantes. Estas pequeñas computadoras soldadas en la placa base de los servidores permiten que los centros de la nube, y en ocasiones sus clientes, optimicen la administración remota de grandes flotas de computadoras. Permiten a los administradores reinstalar sistemas operativos, instalar y desinstalar aplicaciones de forma remota y controlar casi todos los demás aspectos del sistema, incluso cuando está apagado.

Pantsdown, como el investigador denominó la amenaza, permitió que cualquier persona que ya tuviera acceso al servidor tuviera una oportunidad extraordinaria. Explotando la falla de lectura/escritura arbitraria, el pirata informático podría convertirse en un superadministrador que persistentemente tenía el nivel más alto de control para todo un centro de datos.

La industria se moviliza… excepto uno

Durante los meses siguientes, varios proveedores de BMC emitieron parches y avisos que explicaban a los clientes por qué era fundamental corregir la vulnerabilidad.

Ahora, los investigadores de la firma de seguridad Eclypsium informaron un hallazgo inquietante: por razones que siguen sin respuesta, un BMC ampliamente utilizado del proveedor de soluciones de centros de datos Quanta Cloud Technology, mejor conocido como QCT, permaneció sin parches contra la vulnerabilidad el mes pasado.

Como si la inacción de QCT no fuera suficiente, la postura actual de la empresa también sigue siendo desconcertante. Después de que Eclypsium informara de forma privada sus hallazgos a QCT, la empresa de soluciones respondió que finalmente había solucionado la vulnerabilidad. Pero en lugar de publicar un aviso y hacer público un parche, como hacen casi todas las empresas cuando solucionan una vulnerabilidad crítica, le dijo a Eclypsium que estaba proporcionando actualizaciones de forma privada, cliente por cliente. Como esta publicación estaba a punto de publicarse, “CVE-2019-6260”, la designación de la industria para rastrear la vulnerabilidad, no apareció en el sitio web de QCT.

Lea también:  El tribunal de Berlín revoca la prohibición del uso de pruebas de EncroChat en juicios penales

En un correo electrónico, el vicepresidente de tecnología de Eclypsium, John Loucaides, escribió:

Eclypsium continúa encontrando que los servidores personalizados (p. ej., Quanta) siguen sin parchear las vulnerabilidades desde 2019. Esto está afectando a una gran cantidad de dispositivos de una gran cantidad de proveedores de la nube. El problema no es una sola vulnerabilidad, es el sistema que mantiene los servidores en la nube viejos y vulnerables. Quanta acaba de lanzar el parche para estos sistemas y no lo proporcionaron para su verificación. De hecho, su respuesta para nosotros fue que solo estaría disponible a pedido de soporte”.

Múltiples representantes de Quanta no respondieron a dos correos electrónicos enviados durante días consecutivos solicitando la confirmación del cronograma de Eclypsium y una explicación de su proceso y políticas de aplicación de parches.

Actual, pero no parcheado

Una publicación de blog de Eclypsium publicada el jueves muestra el tipo de ataque que es posible llevar a cabo en los BMC de QCT utilizando el firmware disponible en la página de actualización de QCT a partir del mes pasado, más de tres años después de que apareciera Pantsdown.

El video que acompaña a Eclypsium muestra a un atacante obteniendo acceso al BMC después de explotar la vulnerabilidad para modificar su servidor web. Luego, el atacante ejecuta una herramienta disponible públicamente que usa Pantsdown para leer y escribir en el firmware de BMC. La herramienta permite al atacante proporcionar al BMC un código que abre un shell web inverso cada vez que un administrador legítimo actualiza una página web o se conecta al servidor. La próxima vez que el administrador intente realizar cualquiera de estas acciones, fallará con un error de conexión.

Lea también:  En 2021, 1,8 personas experimentaron una temperatura media anual récord

Detrás de escena, sin embargo, y sin que el administrador lo sepa, se abre el shell inverso del atacante. A partir de aquí, el atacante tiene el control total del BMC y puede hacer cualquier cosa con él que un administrador legítimo pueda, incluido establecer un acceso continuo o incluso bloquear permanentemente el servidor.

Demostración de ataque BMC

El poder y la facilidad de uso del exploit Pantsdown no son nuevos. Lo que es nuevo, contrariamente a las expectativas, es que este tipo de ataques sigue siendo posible en los BMC que usaban el firmware QCT proporcionado el mes pasado.

La decisión de QCT de no publicar una versión parcheada de su firmware o incluso un aviso, junto con el silencio de la radio con los reporteros haciendo preguntas legítimas, debería ser una señal de alerta. Los centros de datos o los clientes de centros de datos que trabajan con los BMC de esta empresa deben verificar la integridad de su firmware o comunicarse con el equipo de soporte de QCT para obtener más información.

Incluso cuando los BMC provienen de otros fabricantes, los centros en la nube y los clientes de los centros en la nube no deben asumir que están parcheados contra Pantsdown.

“Este es un problema grave y no creemos que sea un hecho único”, escribió Loucaides. “Hemos visto dispositivos implementados actualmente de cada OEM que siguen siendo vulnerables. La mayoría de ellos tienen actualizaciones que simplemente no se instalaron. Sin embargo, los sistemas de Quanta y su respuesta los diferenciaron”.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.