生活中大多数人都会谨慎对待插入电脑的USB以避免病毒植入。
而这一次的USBAnywhere,
不用插入USB,就可以轻松入侵你的电脑。
近日,全球共有数万台由Supermicro主板驱动的企业服务器遭到远程入侵,攻击者通过虚拟插入恶意USB设备,针对Supermicro服务器发起多种类型的USB攻击而不需要实际访问它们,也不需要将USB驱动器插入计算机。
这波攻击被统称为“USBAnywhere”,它的罪魁祸首是BMC控制器固件中的几个新发现的漏洞,这些漏洞可以让攻击者远程接管Supermicro服务器并安装恶意USB设备。
基板管理控制器(BMC)是一个专门的服务器处理器,是智能平台管理接口(IPMI)实用程序的核心硬件芯片,通常包含在要监控设备的主板或主电路板中,在无需访问服务器操作系统的情况下,允许系统管理员远程控制和监视服务器。
换句话说,BMC是一种带外管理系统,它允许管理员执行关键维护任务,包括远程重启设备、分析日志、安装操作系统和更新固件——这使得它成为当今企业服务器中最有特权的组件之一。
在这次的攻击中,SupermicroX9、X10和X11平台上的BMC使用不安全的身份验证在客户机和服务器之间传输USB数据包。
下面列出的这四种漏洞很容易被远程攻击者利用,从而绕过TCP端口623的身份验证过程,监听虚拟媒体服务,或者是拦截流量以恢复弱加密的BMC凭据,有的甚至可以直接利用完全未加密的凭据。未加密的网络流量
弱加密
身份验证绕过(仅限X10和X11平台)
总而言之,这些漏洞为攻击者提供了几种方案。在最简单的情况下,攻击者会尝试BMC的默认用户名和密码。但是,即使更改了默认密码,攻击者仍然可以轻松获得访问权限。如果管理员在BMC上次关机后使用过虚拟媒体,那么即使没有正确的用户名和密码,攻击者也会绕过身份验证进行连接。
一旦连接上,受攻击的虚拟媒体服务就会允许攻击者以原始USB设备的身份与主机进行交互,这意味着攻击者可以像攻击USB端口一样轻松地攻击服务器,完成一系列操作,包括:植入恶意软件
启动新的操作系统映像
通过虚拟键盘和鼠标直接操作系统,修改服务器
完全禁用设备
除了利用直接暴露在互联网上的虚拟媒体服务的BMC之外,这些漏洞也可以被攻击者利用,用来访问企业网络。通过扫描互联网上的TCP端口623,发现来自90多个国家的47000多个BMC暴露在互联网上,其中大多数在美国。对此,Supermicro公司在8月份承认了这些问题,并在9月3日发布了针对X9、X10和X11平台的固件更新。因此,建议企业尽快更新他们的BMC固件到最新版本。此外,除了更新,重要的是确保BMC不直接暴露于互联网,因为直接暴露于互联网大大增加了此类攻击的可能性。
*本文由看雪编辑 LYA 编译自 The Hacker News,转载请注明来源及作者。