等保门户网: 测评整改

Supermicro数百款服务器产品惊现固件漏洞

来源:admin 发布日期:2018-06-22

安全研究人员发现了影响Supermicro多款服务器产品固件的漏洞。
Eclypsium的团队发现,这些漏洞影响Supermicro的新款和老款产品,但该厂商在努力解决这些问题。
这些漏洞不会直接让Supermicro产品的安全面临风险,因为只能通过已经在系统上运行的恶意软件/代码(又称恶意软件)才能钻漏洞的空子。不过,钻这些漏洞的空子让恶意软件得以隐藏在硬件的固件中,即使服务器操作系统重装后也能够存活下来,因而在被感染的系统上几乎永久地潜伏下来。
恶意软件可以修改描述符区域设置
Eclypsium研究人员发现的第一个漏洞不是固件代码中的实际漏洞,而是一些Supermicro产品的配置有问题。
研究人员表示,其中一些产品随带的固件使用了不正确的“描述符区域”(Deor Region)设置。
描述符区域是基于英特尔的芯片组的一项安全特性。该设置告诉芯片组外方可以访问其自有闪存存储器的哪些区域来存储数据(比如固件或配置文件)。
据Eclypsium的研究人员声称,一些Supermicro产品的描述符区域设置有误,让在操作系统上运行的软件(如恶意软件)得以改动描述符区域,进而篡改本地固件。
Eclypsium团队在今天发布的报告中写道:“Eclypsium的研究人员通过运行时检查多款服务器的固件,注意到了易受攻击的描述符访问控制机制。”
“这番手动分析发现了多款服务器允许从主机软件写入到闪存描述符。据Supermicro声称,我们审查的一些产品可以追溯至2008年,目前已停产,不再得到支持。”
一些产品没有固件验证
虽然可以在一些Supermicro产品上改动描述符区域设置,但篡改本地固件并不像听起来那么容易,因为几道安全机制防止不法分子改动计算机或服务器最重要的代码。
这时候,Eclypsium团队发现的第二类问题浮出了水面。
研究团队表示:“我们通过运行时检查多个系统,发现了不安全的固件更新。这番手动分析发现,Supermicro X9DRi-LN4F +系统和X10SLM-F系统没有安全地验证固件更新。”
“我们有意改动官方Supermicro固件映像中的二进制文件,观察到系统固件仍接受并安装了改动后的软件包,因此确认了这个结果。”
没有固件回滚保护
但问题并不仅限于止,Eclypsium团队还注意到了固件映像缺少防止回滚的保护。
这种防止回滚的保护对于厂商核查固件可靠性的情况而言至关重要。
固件防回滚保护可以防止攻击者把较新的固件换成含有漏洞的较旧的(合法的)固件映像,以免攻击者钻漏洞的空子,在突然易受攻击的系统上潜伏下来。
Supermicro在开发补丁
Eclypsium表示,早在1月份它已向Supermicro通报了在其产品固件中发现的所有问题。
Eclypsium说:“Supermicro一直支持我们的工作,格外注重了解和解决我们发现的问题。”
“Supermicro表示,对于目前这一代产品来说,它已经为几款产品进行了签名固件更新,准备对将来的所有系统进行这种更新。”
“同样,对于定制和锁定的固件版本需要回滚功能以确保业务连续性的OEM客户而言,Supermicro表示它支持防回滚作为X11这一代固件的选项。”
“大多数主板上的SPI闪存描述符都是只读的,我们在帮助Supermicro找出具体哪几款产品在这方面的设置有误。”
受影响的款式
Eclypsium已向Supermicro服务器硬件的用户发布了操作说明,教用户如何检查其系统的描述符访问控制机制。
这些步骤安装和运行CHIPSEC框架,这是Eclypsium的其中一位创始人在效力于英特尔与他人共同开发的工具。所有服务器用户只需运行下面这个命令:
chipsec_main -m common.spi_access
如果此测试失败,那么当前描述符值提供不了任何保护,因为它们可以更改。
如果攻击者钻不安全的固件更新的空子,一个明显的目标就以某种方式改动固件。这样一来,非常隐蔽且持久的恶意软件就能绕过许多安全控制机制。然而,还是有可能检测出这种恶意软件。
为了抵御这些攻击,可以收集固件模块的哈希值。可以对比厂商提供的固件白名单,对这些哈希值进行验证。如果发现意想不到的变动,就需要专家级分析来手动评估它们。
在本文发表前几天,IT外媒Bleeping Computer请Supermicro就此事发表评论。我们请Supermicro证实Eclypsium的研究结果,询问Supermicro的哪些平台受到此安全问题的影响,但在本文发表之前尚未收到回复。
直到Supermicro回应或公布附有受影响型号列表的官方安全公告,Eclypsium的首席执行官兼创始人尤里·布里金(Yuriy Bulygin)才向外媒透露他们认为受影响的Supermicro产品列表。
布里金通过电子邮件告诉外媒:“就缺失的UEFI更新保护而言,大多数或所有的X8、X9和X10这几代服务器产品,以及大多数的X11这一代服务器产品受到影响。我们不知道具体有几款产品受到影响,但我们发现至少233款独特的X8-X11服务器的1184个独特的固件映像有问题。”
来源:搜狐云头条

【关闭】 【打印】

您是第 47184295 位访问者
沪ICP备 12039260号 京公网安备 11010802025578号