한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
홈페이지새로운 취약점으로 인해 서버 BMC 인터페이스를 검토해야 할 때입니다.
최근 널리 사용되는 베이스보드 관리 컨트롤러에서 발견된 두 가지 취약점으로 인해 원격 및 로컬 위협 행위자가 서버를 완전히 제어할 수 있게 되었습니다.
서버 마더보드에 있는 베이스보드 관리 컨트롤러(BMC)의 펌웨어에서 수년간 발견된 보안 문제의 빈도와 심각도는 종종 간과되지만 IT 인프라 보안의 중요한 영역을 강조합니다. 점점 늘어나고 있는 결함 목록에 최근 추가된 것은 다양한 서버 제조업체에서 널리 사용되는 "라이트 아웃(lights-out)" 관리 인터페이스에 있는 두 가지 취약점입니다. 함께 활용하면 원격 및 로컬 공격자가 낮고 감지하기 어려운 수준에서 영향을 받는 서버에 대한 완전한 제어를 제공할 수 있습니다.
“이러한 취약점을 악용하면 손상된 서버의 원격 제어, 맬웨어의 원격 배포, 랜섬웨어 및 펌웨어 이식 또는 마더보드 구성 요소(BMC 또는 잠재적으로 BIOS/UEFI) 차단, 서버에 대한 잠재적인 물리적 손상(과전압/펌웨어 브리킹), 그리고 피해자 조직이 중단할 수 없는 무기한 재부팅 루프가 있습니다.” 펌웨어 보안 회사인 Eclypsium의 연구원들이 최근 보고서에서 밝혔습니다. “소등이군요, 그렇죠.”
BMC는 자체 펌웨어 및 운영 체제, 전용 메모리, 전원 및 네트워크 포트를 갖춘 특수 마이크로 컨트롤러입니다. 기본 운영 체제가 종료될 때 서버의 대역 외 관리에 사용됩니다. BMC는 기본적으로 서버 내부에서 실행되는 작은 컴퓨터로, 관리자가 운영 체제 재설치, 서버가 더 이상 응답하지 않을 때 서버 다시 시작, 펌웨어 업데이트 배포 등과 같은 유지 관리 작업을 원격으로 수행할 수 있도록 해줍니다. 이를 소등 관리라고도 합니다.
보안 연구원들은 BMC 구현과 그들이 최소 10년 동안 사용해 온 지능형 플랫폼 관리 인터페이스(IPMI) 사양의 보안 문제에 대해 경고해 왔습니다. 취약점에는 하드코딩된 자격 증명 및 사용자, 잘못된 구성, 약하거나 부재한 암호화, 버퍼 오버플로와 같은 코드 버그가 포함됩니다. 이러한 관리 인터페이스는 격리된 네트워크 세그먼트에서 작동해야 하지만 지난 수년 동안 수십만 개가 인터넷에 노출된 것으로 나타났습니다.
작년에 연구원들은 APT 그룹이 개발한 것으로 추정되는 iLOBleed라는 악성 임플란트를 발견했으며, 이후 HPE iLO(Integrated Lights-Out) BMC의 취약점을 통해 HPE Gen8 및 Gen9 서버에 배포되고 있었습니다. 2018.
2018년에 공격자들은 기본 관리자 자격 증명을 사용하는 안전하지 않은 IPMI 인터페이스를 이용하여 Linux 서버에 JungleSec이라는 랜섬웨어 프로그램을 배포한 것으로 알려졌습니다. 2016년에 Microsoft는 PLATINUM이라는 APT 그룹이 Intel의 AMT(Active Management Technology) SOL(Serial-over-LAN) 기능을 악용하여 파일 전송을 위한 비밀 통신 채널을 설정했다고 보고했습니다. AMT는 대부분의 Intel 데스크탑 및 서버 CPU에 존재하는 BMC와 유사한 솔루션인 Intel ME(Management Engine)의 구성 요소입니다.
Eclypsium 연구원들은 BIOS/UEFI 및 BMC 펌웨어의 세계 최대 공급업체인 American Megatrends(AMI)가 개발한 BMC 펌웨어 구현인 MegaRAC에서 두 가지 새로운 취약점을 발견하고 공개했습니다. 시간이 지남에 따라 일부 제품에 AMI MegaRAC를 사용한 서버 제조업체에는 AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, NVidia, Qualcomm, Quanta 및 기타 제품이 포함됩니다. 티안.
Eclypsium이 BMC 취약점을 발견한 것은 이번이 처음이 아닙니다. 2022년 12월 이 회사는 AMI MegaRAC에서 식별한 5개의 다른 취약점을 공개했습니다. 이 중 일부는 Redfish API를 통해 임의 코드 실행을 허용하거나 하드코딩된 비밀번호로 인해 권한 있는 계정에 SSH 액세스를 제공했습니다.
두 가지 새로운 취약점은 Redfish 관리 인터페이스에도 있습니다. Redfish는 이전 IPMI를 대체하기 위해 개발된 대역 외 관리용 표준화된 인터페이스입니다.