İki yıl önce, fidye yazılımı dolandırıcıları, donanım üreticisi Gigabyte’ı ihlal etti ve aralarında Intel ve AMD’nin de bulunduğu en önemli tedarik zinciri ortaklarından bazılarının bilgilerini içeren 112 gigabayttan fazla veriyi boşalttı. Şimdi araştırmacılar, sızan bilgilerin, bilgi işlem dünyasının devasa alanlarını tehlikeye atabilecek kritik sıfır gün güvenlik açıkları anlamına gelebileceğini ortaya çıkardığı konusunda uyarıyorlar.
Güvenlik açıkları, Duluth, Georgia merkezli AMI’nin BMC’ler (temel kart yönetim denetleyicileri) için ürettiği aygıt yazılımında bulunur. Sunucuların ana kartına lehimlenen bu küçük bilgisayarlar, bulut merkezlerinin ve bazen müşterilerinin geniş bilgisayar filolarının uzaktan yönetimini kolaylaştırmasına olanak tanır. Yöneticilerin, işletim sistemlerini uzaktan yeniden yüklemelerine, uygulamaları yükleyip kaldırmalarına ve kapalıyken bile sistemin hemen hemen her yönünü kontrol etmelerine olanak tanırlar. BMC’ler, sektörde “ışıklar kapalı” sistem yönetimi olarak bilinen şeyi sağlar.
Sonsuza dek ışıklar kapalı
Güvenlik firması Eclypsium’dan araştırmacılar, 2021 fidye yazılımı saldırısında sızan AMI ürün yazılımını analiz etti ve yıllardır gizlenen güvenlik açıklarını belirledi. Bir veri merkezi içindeki her sunucuda çalışacak kötü amaçlı kodu yürütmek için Redfish olarak bilinen endüstri standardı bir uzaktan yönetim arabirimine erişimi olan herhangi bir yerel veya uzak saldırgan tarafından kullanılabilirler.
Güvenlik açıkları, Perşembe günü yayınlanan bir AMI güncellemesi kullanılarak yamalanana kadar, kötü niyetli bilgisayar korsanlarına (hem finansal olarak motive olan hem de ulus devlet sponsorluğunda) dünyanın en hassas bulut ortamlarından bazılarında süper kullanıcı statüsü kazanmak için bir araç sağlıyor. Saldırganlar oradan, virüs bulaşmış makinelerin içindeki en düşük düzeylerden bazılarında çalışan fidye yazılımı ve casusluk amaçlı kötü amaçlı yazılım yükleyebilir. Başarılı saldırganlar ayrıca sunucularda fiziksel hasara veya kurban kuruluşun kesintiye uğratamayacağı süresiz yeniden başlatma döngülerine neden olabilir. Eclypsium, bu tür olayların “sonsuza kadar ışıkların sönmesi” senaryolarına yol açabileceği konusunda uyardı.
Perşembe günü yayınlanan bir gönderide, Eclypsium araştırmacıları şunları yazdı:
Bu güvenlik açıklarının önem derecesi Yüksek ila Kritikiçermek kimliği doğrulanmamış uzaktan kod yürütme ve süper kullanıcı izinleriyle yetkisiz cihaz erişimi. Redfish uzaktan yönetim arabirimlerine erişimi olan uzak saldırganlar tarafından veya güvenliği ihlal edilmiş bir ana bilgisayar işletim sisteminden kullanılabilirler. Redfish, geleneksel IPMI’nin halefidir ve bir sunucunun altyapısının ve modern veri merkezlerini destekleyen diğer altyapının yönetimi için bir API standardı sağlar. Redfish, hemen hemen tüm büyük sunucu ve altyapı satıcılarının yanı sıra genellikle modern hiper ölçekli ortamlarda kullanılan OpenBMC ürün yazılımı projesi tarafından desteklenir.
Bu güvenlik açıkları, bulut bilişimin altında yatan teknoloji tedarik zinciri için büyük bir risk oluşturuyor. Kısacası, bir bileşen tedarikçisindeki güvenlik açıkları birçok donanım satıcısını etkiler ve bu da birçok bulut hizmetine aktarılabilir. Bu tür güvenlik açıkları, bir kuruluşun doğrudan sahip olduğu sunucular ve donanımlar ile kullandıkları bulut hizmetlerini destekleyen donanımlar için risk oluşturabilir. Ayrıca, kuruluşlara yönelik üretime dönük tedarikçileri de etkileyebilirler ve genel tedarik zinciri risk yönetimi durum değerlendirmesinin bir parçası olarak kilit 3. taraflarla tartışılmalıdır.
BMC’ler, yöneticilere yönettikleri sunucular üzerinde neredeyse tamamen ve uzaktan kontrol sağlamak üzere tasarlanmıştır. AMI, çok çeşitli donanım satıcılarına ve bulut hizmeti sağlayıcılarına BMC’ler ve BMC ürün yazılımı sağlayan lider bir sağlayıcıdır. Sonuç olarak, bu güvenlik açıkları çok sayıda cihazı etkiler ve saldırganların yalnızca cihazların değil, veri merkezlerinin ve bulut hizmeti altyapısının kontrolünü ele geçirmesine veya bunlara zarar vermesine olanak sağlayabilir. Aynı mantık kusurları, aynı hizmet sağlayıcının farklı coğrafi bölgelerindeki geri dönüş veri merkezlerindeki cihazları etkileyebilir ve bulut sağlayıcılarının (ve müşterilerinin) genellikle risk yönetimi ve operasyonların sürekliliği bağlamında yaptıkları varsayımlara meydan okuyabilir.
Araştırmacılar, halka açık kaynak kodunu analiz ettikten sonra güvenlik açıklarını bulabilirlerse ve istismarlar yazabilirlerse, kötü niyetli aktörlerin aynı şeyi yapmasını engelleyen hiçbir şeyin olmadığını not ettiler. Ve kaynak koduna erişim olmasa bile güvenlik açıkları, BMC sabit yazılım görüntülerinin derlenmesiyle belirlenebilir. Kötü niyetli tarafların bunu yaptığına dair bir gösterge yok, ancak yapmadıklarını bilmenin de bir yolu yok.
Araştırmacılar, güvenlik açıklarını özel olarak AMI’ye bildirdiler ve şirket, kısıtlı bir destek sayfası aracılığıyla müşterilerin kullanımına sunulan sabit yazılım yamaları oluşturdu. AMI ayrıca burada bir danışma belgesi yayınladı.
Güvenlik açıkları şunlardır:
- CVE-2023-34329, önem derecesi 10 üzerinden 9,9 olan HTTP başlıkları aracılığıyla bir kimlik doğrulama atlaması ve
- CVE-2023-34330, Dinamik Redfish Uzantısı aracılığıyla Kod enjeksiyonu. Ciddiyet derecesi 8.2’dir.
