Miles de servidores pueden ser pirateados de forma remota

Los investigadores de seguridad han descubierto que al menos 47,000 servidores Supermicro en 90 países tienen vulnerabilidades de seguridad sin parches en el firmware para sus controladores de gestión de pie de página (BMC). Esto puede hacer que estén abiertos a ataques remotos.

La firma de seguridad Eclypsium encontró las vulnerabilidades e informó a Supermicro. Desde entonces, la compañía ha lanzado un parche para corregir el problema. Sin embargo, si las vulnerabilidades no se corrigen, se pueden explotar para permitir que un atacante se conecte a un servidor y prácticamente implemente un dispositivo USB a través de Internet.

El ataque USBAnywhere puede ser realizado por atacantes contra BMC vulnerables después de obtener acceso a una red corporativa. Esto significa que la cantidad de servidores vulnerables puede ser mucho mayor que los 47,000 expuestos a Internet.

Los BMC permiten a los administradores administrar un servidor fuera de banda. Es por eso que la vulnerabilidad descubierta por Eclypsium es tan grave.

USB en cualquier lugar

La vulnerabilidad de USBAnywhere fue el resultado de varios problemas con BMC que implementaron medios virtuales en las plataformas Supermicros X9, X10 y X11, que permiten a los administradores conectar de forma remota una imagen de disco, como un CD-ROM USB virtual o una unidad de disquete virtual. Los investigadores de Eclypsium descubrieron que el servicio de medios virtuales de acceso remoto permite la autenticación de texto sin formato, envía la mayor parte del tráfico claro, utiliza un algoritmo de cifrado débil y es vulnerable a omitir la autenticación.

Los atacantes potenciales pueden aprovechar estos problemas para obtener acceso a un servidor capturando un paquete de autenticación de usuario legítimo con credenciales estándar o, en algunos casos, sin credenciales. Una vez conectado, un atacante puede usar el servicio de medios virtuales para interactuar con el sistema host como si hubiera conectado un dispositivo USB directamente a él. Desde aquí, un atacante puede cargar una nueva imagen del sistema operativo, cambiar el servidor con teclado y mouse, implementar malware o incluso deshabilitar completamente el servidor.

En general, se recomienda que las organizaciones aíslen los BMC en su propio segmento de red privada y segura. Sin embargo, Eclypsium descubrió que muchas compañías pasan por alto o ignoran este paso. La compañía usó un escaneo de Shodan, que descubrió que al menos 92,000 BMC se encontraban fácilmente en línea para ilustrar esto.

Para evitar ser víctima de tal ataque, Eclypsium recomienda que todas las organizaciones actualicen su BMC con el último firmware y no lo expongan directamente a Internet, ya que se descubren rápidamente nuevas vulnerabilidades de BMC.

Acerca de la computadora semanal

Publicaciones relacionadas

Botón volver arriba