Ribuan server dapat diretas dari jarak jauh

Peneliti keamanan telah menemukan bahwa setidaknya 47.000 supermicro severs di 90 negara memiliki kerentanan yang belum ditambal dalam firmware untuk pengendali manajemen papan dasar (BMCs) mereka dan ini dapat membuat mereka terbuka terhadap serangan jarak jauh.

Perusahaan keamanan Eclypsium menemukan kerentanan dan melaporkannya ke Supermicro dan perusahaan sejak itu mengeluarkan tambalan untuk memperbaiki masalah tersebut. Namun, jika dibiarkan tidak ditonton, kerentanannya dapat dieksploitasi untuk memungkinkan penyerang terhubung ke server dan secara virtual memasang perangkat USB apa pun melalui internet.

Serangan, yang disebut USBAnywhere, dapat dilakukan terhadap setiap BMC rentan oleh penyerang setelah mendapatkan akses ke jaringan perusahaan. Ini berarti bahwa jumlah server rentan bisa jauh lebih tinggi dari 47.000 yang terpapar ke internet.

BMC dirancang untuk memungkinkan administrator melakukan manajemen out-of-band server dan inilah mengapa kerentanan yang ditemukan oleh Eclypsium sangat serius.

USBAnywhere

Kerentanan USBAnywhere muncul dari beberapa masalah tentang bagaimana BMC pada platform X9, X10, dan X11 Supermicro mengimplementasikan media virtual yang memberi administrator kemampuan untuk menghubungkan dari jarak jauh disk image sebagai CD-ROM USB virtual atau floppy drive. Peneliti Eclypsium menemukan bahwa, ketika diakses dari jarak jauh, layanan media virtual memungkinkan otentikasi plaintext, mengirimkan sebagian besar lalu lintas tanpa enkripsi, menggunakan algoritma enkripsi yang lemah dan rentan terhadap bypass otentikasi.

Penyerang potensial dapat mengeksploitasi masalah ini untuk mendapatkan akses ke server dengan menangkap paket otentikasi pengguna yang sah, menggunakan kredensial default atau tanpa kredensial sama sekali dalam beberapa kasus. Setelah koneksi dibuat, layanan media virtual memungkinkan penyerang untuk berinteraksi dengan sistem host seolah-olah mereka langsung menghubungkan perangkat USB ke sana. Dari sini, seorang penyerang dapat memuat gambar sistem operasi baru, menggunakan keyboard dan mouse untuk memodifikasi server, menanamkan malware atau bahkan menonaktifkan server sepenuhnya.

Biasanya disarankan agar organisasi mengisolasi BMC pada segmen jaringan pribadi dan aman mereka sendiri. Namun, Eclypsium menemukan bahwa banyak organisasi lupa atau memilih untuk mengabaikan langkah ini dan perusahaan menggunakan pemindaian Shodan yang mengungkapkan bahwa setidaknya 92.000 BMC mudah ditemukan di internet untuk menggambarkan hal ini.

Untuk menghindari korban dari serangan semacam itu, Eclypsium merekomendasikan agar semua organisasi memperbarui BMC mereka dengan firmware terbaru dan mereka menghindari memaparkannya langsung ke internet karena kerentanan BMC baru ditemukan dengan sangat cepat.

Melalui Computer Weekly