Se revelan vulnerabilidades del firmware IPMI de Supermicro
Recientemente se han descubierto varios fallos de seguridad en los controladores de gestión de placa base (BMC) de Supermicro. Estos vulnerabilidades de firmware IPMI de Supermicro en la interfaz de gestión de plataforma inteligente (IPMI) de Supermicro plantean graves peligros, incluida la escalada de privilegios y la ejecución de código malicioso en los sistemas afectados. En este blog, repasaremos los detalles específicos de estas vulnerabilidades, sus repercusiones y las medidas adoptadas para solucionarlas.
Comprensión de las vulnerabilidades del firmware IPMI de Supermicro
Antes de entrar en los fallos de seguridad en el firmware IPMI de Supermicroes importante entender los componentes implicados. Los BMC, o controladores de gestión de placa base, son procesadores especializados integrados en las placas base de los servidores. Su propósito principal es facilitar las tareas de gestión remota, permitiendo a los administradores del sistema supervisar las métricas de hardware, ajustar la velocidad de los ventiladores y actualizar el firmware del sistema, incluso cuando el sistema operativo host está fuera de línea.
Divulgación de la vulnerabilidad del firmware IPMI
Vulnerabilidades del servidor Supermicronumeradas de CVE-2023-40284 a CVE-2023-40290, tienen calificaciones de gravedad que van de Alta a Crítica. Binarly, experto en ciberseguridad, las ha clasificado de la siguiente manera:
- CVE-2023-40284, CVE-2023-40287 y CVE-2023-40288 (puntuación CVSS: 9,6): Estas tres vulnerabilidades se clasifican como fallos de secuencias de comandos en sitios cruzados (XSS). Permiten a atacantes remotos no autenticados ejecutar código JavaScript arbitrario como usuario de BMC que ha iniciado sesión.
- CVE-2023-40285 y CVE-2023-40286 (puntuación CVSS: 8,6): Estas dos vulnerabilidades también son fallos XSS, pero permiten a los atacantes ejecutar código JavaScript arbitrario manipulando las cookies del navegador o el almacenamiento local, de nuevo en el contexto de un usuario de BMC que haya iniciado sesión.
- CVE-2023-40289 (puntuación CVSS: 9,1): Esta vulnerabilidad representa un fallo de inyección de comandos en el sistema operativo. Permite la ejecución de código malicioso por parte de un usuario con acceso administrativo, lo que la hace especialmente peligrosa.
- CVE-2023-40290 (puntuación CVSS: 8,3): Esta vulnerabilidad XSS permite a atacantes remotos no autenticados ejecutar código JavaScript arbitrario, pero es más efectiva cuando se utiliza Internet Explorer 11 en un navegador Windows.
CVE-2023-40289 destaca como "crítica" entre estas vulnerabilidades, ya que permite a los atacantes autenticados obtener acceso root y comprometer por completo el sistema BMC. Este privilegio mejorado permite a los atacantes persistir, incluso después de reiniciar el componente BMC, y moverse lateralmente dentro de la infraestructura comprometida, infectando nuevos puntos finales.
Escenarios de explotación
Entendiendo los exploits remotos en el firmware IPMI es el primer paso para diseñar medidas de mitigación eficaces contra las amenazas potenciales. Las vulnerabilidades, concretamente CVE-2023-40284, CVE-2023-40287 y CVE-2023-40288, pueden aprovecharse para establecer una cuenta con capacidades administrativas para el componente de servidor web del software BMC IPMI.
En un escenario hipotético, un atacante remoto podría utilizar estos fallos junto con CVE-2023-40289 para ejecutar código. Esto podría tomar la forma de un correo electrónico de phishing enviado a la cuenta de correo electrónico de un administrador que contenga un enlace malicioso. Al hacer clic en esta URL, se ejecutaría una carga útil XSS, comprometiendo potencialmente el sistema.
Cabe señalar que hasta el momento no se ha comprobado la explotación maliciosa de estas vulnerabilidades sobre el terreno. Sin embargo, a partir de octubre de 2023Binarly había registrado más de 70.000 instancias de interfaces web IPMI de Supermicro expuestas a Internet.
El camino hacia la explotación
Binarly ha propuesto una posible ruta para los atacantes. Inicialmente, podrían violar remotamente el sistema BMC explotando las debilidades del componente Web Server, accesible a través de Internet. A continuación, el atacante podría obtener acceso al sistema operativo del servidor a través de una funcionalidad BMC de control remoto iKVM genuina o insertando firmware malicioso en la UEFI de la máquina objetivo. Esto les daría un control persistente sobre el sistema operativo anfitrión, permitiendo el movimiento lateral dentro de la red interna y comprometiendo más dispositivos.
Conclusión
Por último, la revelación de estos riesgos de ciberseguridad en los sistemas Supermicro Supermicro pone de relieve la necesidad fuertes medidas de ciberseguridad. Supermicro respondió rápidamente publicando una actualización de firmware para solucionar estos problemas. Sin embargo, las organizaciones deben examinar y parchear sus sistemas de forma proactiva para evitar posibles explotaciones.
Cuando se trata de salvaguardar sus sistemas Supermicro, la implementación de medidas de mitigación de vulnerabilidades Supermicro IPMI es primordial. Las soluciones de parcheo pueden ayudarle a reducir el tiempo de inactividad, garantizar el cumplimiento y mantener su negocio en funcionamiento. Aunque actualmente no hay pruebas de actividad hostil, estar alerta y tomar las medidas necesarias es vital para proteger la infraestructura crítica.
Las fuentes de este artículo incluyen artículos en The Hacker News y Semana de la Seguridad.