Getty Resimleri
Ocak 2019’da bir araştırmacı, modern sunuculara ve iş istasyonlarına yerleştirilmiş en güçlü ve hassas cihazlardan birinde yıkıcı bir güvenlik açığı ortaya çıkardı. 10 üzerinden 9,8 önem derecesi ile güvenlik açığı, birden çok üretici tarafından yapılan çok çeşitli temel kart yönetim denetleyicilerini etkiledi. Sunucuların anakartına lehimlenen bu küçük bilgisayarlar, bulut merkezlerinin ve bazen müşterilerinin geniş bilgisayar filolarının uzaktan yönetimini kolaylaştırmasına olanak tanır. Yöneticilerin işletim sistemlerini uzaktan yeniden yüklemelerine, uygulamaları yüklemelerine ve kaldırmalarına ve sistemin hemen hemen her yönünü, sistem kapalıyken bile kontrol etmelerine olanak tanırlar.
Pantsdown, araştırmacının tehdidi olarak adlandırdığı gibi, sunucuya zaten bir miktar erişimi olan herkese olağanüstü bir fırsat verdi. Bilgisayar korsanı, keyfi okuma/yazma kusurundan yararlanarak, tüm veri merkezi için sürekli olarak en yüksek düzeyde kontrole sahip olan bir süper yönetici olabilir.
Endüstri harekete geçiyor… biri hariç
Önümüzdeki birkaç ay içinde, birden fazla BMC satıcısı, müşterilere güvenlik açığını yamamanın neden kritik olduğunu söyleyen yamalar ve öneriler yayınladı.
Şimdi, güvenlik firması Eclypsium’dan araştırmacılar rahatsız edici bir bulgu bildirdiler: Cevapsız kalan nedenlerden dolayı, QCT olarak bilinen veri merkezi çözümleri sağlayıcısı Quanta Cloud Technology’nin yaygın olarak kullanılan bir BMC’si, geçen ay kadar yakın bir zamanda güvenlik açığına karşı yamasız kaldı.
QCT’nin eylemsizliği yeterli değilmiş gibi, şirketin mevcut duruşu da şaşırtıcı olmaya devam ediyor. Eclypsium bulgularını QCT’ye özel olarak bildirdikten sonra, çözüm şirketi sonunda güvenlik açığını düzelttiğini söyledi. Ancak, hemen hemen her şirketin kritik bir güvenlik açığını düzeltirken yaptığı gibi, bir danışma belgesi yayınlamak ve bir düzeltme ekini herkese açık hale getirmek yerine, Eclypsium’a güncellemeleri müşteri bazında özel olarak sağladığını söyledi. Bu gönderi yayınlanmak üzereyken, sektörün güvenlik açığını takip etme tanımı olan “CVE-2019-6260” QCT’nin web sitesinde görünmüyordu.
Eclypsium Teknoloji Başkan Yardımcısı John Loucaides bir e-postada şunları yazdı:
Eclypsium, özel sunucuların (örneğin Quanta) 2019’a kadar uzanan güvenlik açıklarına karşı yama uygulanmadığını bulmaya devam ediyor. Bu, çok sayıda bulut sağlayıcısından sayısız cihazı etkiliyor. Sorun herhangi bir güvenlik açığı değil, bulut sunucularını eski ve savunmasız tutan sistemdir. Quanta, bu sistemler için yamayı daha yeni yayınladı ve doğrulama için sağlamadı. Aslında bize verdikleri yanıt, yalnızca destek talebi üzerine kullanıma sunulacağı yönündeydi.”
Birden fazla Quanta temsilcisi, Eclypsium’un zaman çizelgesinin onaylanmasını ve yama süreci ve politikalarının bir açıklamasını talep eden ardışık günlerde gönderilen iki e-postaya yanıt vermedi.
Güncel, ancak yamalı değil
Perşembe günü yayınlanan Eclypsium blog yazısı, Pantsdown gün yüzüne çıktıktan üç yıldan fazla bir süre sonra, geçen ay itibariyle QCT’nin güncelleme sayfasında bulunan bellenimi kullanarak QCT BMC’lerde gerçekleştirilebilecek saldırı türünü gösteriyor.
Eclypsium’a eşlik eden video, bir saldırganın web sunucusunu değiştirmek için güvenlik açığından yararlandıktan sonra BMC’ye erişim sağladığını gösteriyor. Saldırgan daha sonra, BMC ürün yazılımını okumak ve yazmak için Pantsdown’ı kullanan, genel kullanıma açık bir aracı çalıştırır. Araç, meşru bir yönetici bir web sayfasını her yenilediğinde veya sunucuya bağlandığında, saldırganın BMC’ye bir ters web kabuğu açan kodu sağlamasına olanak tanır. Yönetici bir sonraki eylemi gerçekleştirmeye çalıştığında, bir bağlantı hatasıyla başarısız olur.
Ancak perde arkasında ve yöneticinin haberi olmadan, saldırganın ters kabuğu açılır. Bundan sonra, saldırgan BMC üzerinde tam kontrole sahiptir ve onunla meşru bir yöneticinin yapabileceği her şeyi yapabilir, buna sürekli erişim sağlamak ve hatta sunucuyu kalıcı olarak tuğlalamak da dahil.
BMC Saldırı Demosu
Pantsdown istismarının gücü ve kullanım kolaylığı hiçbir şekilde yeni değil. Beklentilerin aksine yeni olan, bu tür saldırıların geçen ay sağlanan ürün yazılımı QCT’yi kullanan BMC’lerde mümkün olmaya devam etmesidir.
QCT’nin donanım yazılımının yamalı bir sürümünü veya hatta bir tavsiyeyi yayınlamama kararı, radyo sessizliği ile birleştiğinde muhabirlerin meşru sorular sorması kırmızı bayrak olmalıdır. Bu şirketin BMC’leri ile çalışan veri merkezleri veya veri merkezi müşterileri, ürün yazılımının bütünlüğünü doğrulamalı veya daha fazla bilgi için QCT’nin destek ekibiyle iletişime geçmelidir.
BMC’ler diğer üreticilerden gelse bile, bulut merkezleri ve bulut merkezi müşterileri, Pantsdown’a karşı yama yapıldığını varsaymamalıdır.
Loucaides, “Bu ciddi bir sorun ve bunun benzersiz bir olay olduğuna inanmıyoruz” dedi. “Şu anda her bir OEM’den dağıtılan ve savunmasız kalan cihazları gördük. Bunların çoğunda yalnızca yüklenmeyen güncellemeler var. Yine de Quanta’nın sistemleri ve yanıtları onları farklı kıldı.”
