研究人员发现,云达(quanta cloud technology,qct)旗下数款产品存在一bmc固件安全漏洞可使服务器遭遇远程程序代码执行攻击。所幸云达已经修补完成。
eclypsium研究人员近日发现,多款云达服务器受到编号cve-2019-6260的漏洞影响。研究人员并开发出一项概念验证攻击程序,展示能远程访问系统的非授权攻击者可在云达服务器的bmc内执行程序代码。
cve-2019-6260漏洞外号为pantsdown,根源在台湾信骅科技(aspeed)生产的基带管理控制器(baseband management controller,bmc)aspeed ast2400及ast2500硬件与固件。根据最早发现的研究人员指出,aspeed bmc soc硬件功能的共享组态问题,让恶意程序可从主机(少部分情况下可从bmc控制台)非授权访问,而在bmc实体地址空间任意读写。pantsdown漏洞风险值高达9.8,属重大漏洞。
而基于供应链关系,3年前漏洞公布时,许多bmc固件堆栈受到pantsdown漏洞影响,包括openbmc、aimi的bmc、及supermicro。
eclypsium指出,pantsdown可让攻击者接管服务器,可以在服务器内植入勒索软件、窃取机密或关闭bmc甚至整台系统。若在bmc内执行程序代码,攻击者还能窃取bmc登录凭证,而使其攻击同一ipmi群组内的其他服务器,是一重大风险漏洞。由于去年初还爆出网络上流传以名为ilobleed的bmc恶意程序攻击服务器,因此研究人员呼吁qct客户要小心验证其服务器的组件安全性。
研究人员于去年10月通知云达。云达表示已经解决这项漏洞,并将更新后的固件提供给客户,但这些固件将不会公开。