[JustisCERT-varsel] [#061-2023] [TLP:CLEAR] Sårbarheter i produkter som benytter BMC/IPMI/Redfish/Lights-Out
JustisCERT ønsker å varsle om sårbarheter i produkter som benytter en form for Baseboard Management Controller (BMC) og er satt opp med Lights-Out funksjonalitet. BMC er en maskinvarebrikke med egen fastvare/firmware som gjør det mulig blant annet å fjernstyre, konfigurere, oppdatere og overvåke f.eks. servere, lagringssystemer, OT og IoT, selv når et produkt er skrudd av. Administrasjon av løsninger med BMC-brikker skjer via Intelligent Platform Management Interface (IPMI) eller den nyere standarden Redfish og funksjonaliteten er kjent som Lights-Out Management (LOM). Det er flere brikke/firmware/software-leverandører av BMC (f.eks. AMI MegaRAC og Aspeed) i tillegg til ulike leverandørspesifikke implementeringer, f.eks. Hewlett Packard Enterprise Integrated Lights-Out (iLO), Dell Remote Access Controller (iDRAC) og Cisco Integrated Management Controller (IMC).
Det er oppdaget en rekke sårbarheter i Lights-Out/BMC-løsninger de siste årene, flere er kategorisert som kritisk. Noen av sårbarhetene berører flere implementeringer av BMC på tvers av leverandører, mens andre gjelder kun utvalgte produkter fra en bestemt leverandør. F.eks. har Dell i perioden 01.01.2023 til 01.09.2023 publisert 14 nye bulletiner for iDRAC (10 er kategorisert som kritisk) [1], den 20.07.2023 ble 2 nye sårbarheter offentliggjort for MegaRAC BMC fra American Megatrends International (AMI) kategorisert som alvorlig [2] og de ulike sårbarhetene omtalt som iLOBleed (utnyttet siden 2020) berører kun utvalgte HPE servere med iLO [3].
Sårbarheter i BMC/Lights-Out gjør det mulig for en angriper å ta over og kontrollere sårbare systemer. CISA og NSA publiserte 14.06.2023 en guide for å sikre løsninger som benytter BMC [4] som blant annet anbefaler følgende:
- Endre alltid standard/default brukernavn og passord. Bruk lange/sikre passord og beskytt disse slik at de ikke kommer på avveie.
- Sørg for at BMC-løsninger og tilhørende programvare for å administrere disse kun er tilgjengelig på dedikerte/lukkede VLAN. Sørg for at kun ønskede administratorer og administrasjonsenheter kan nå dette nettet. Ikke eksponer BMC-tjenestene/løsningene på andre nett.
- Følg leverandørens anbefalinger for sikker konfigurasjon. Skru av og unngå å koble til BMC-løsninger som ikke skal benyttes når det er mulig.
- Sørg for at fastvare/firmware/BIOS og tilhørende programvare holdes oppdatert. Oppdater også løsninger som er skrudd av/koblet fra da disse kan bli koblet til på et tidspunkt.
Berørte produkter er blant annet:
- Hewlett Packard Enterprise Integrated Lights-Out (iLO)
- Dell Remote Access Controller (iDRAC)
- Cisco Integrated Management Controller (IMC)
- Hardware med Baseboard Management Controller (BMC) slik som (men ikke begrenset til):
- Servere
- Lagringsløsninger
- Klienter
- OT
- IoT
- Hardware som benytter MegaRAC Baseboard Management Controller (BMC) fra blant annet (men ikke begrenset til):
- AMD
- Ampere Computing
- ARM
- ASRock
- Asus
- Dell og Dell EMC
- Gigabyte
- Hewlett Packard Enterprise (HPE)
- Hitachi og Hitachi Vantara
- Huawei
- Inspur
- Lenovo
- NetApp
- Nvidia
- Qualcomm
- Quanta
- Supermicro
- Tyan
Anbefalinger:
- Avinstaller programvare som ikke benyttes
- Patch/oppdater sårbare produkter snarest (programvare/software, fastvare/firmware/BIOS)
- Skru på automatisk oppdatering der det er mulig
- Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Koble utstyr som ikke benyttes fra nettet
- Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
- Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
- Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
- Bruk multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
- Revider sentrale brannmurregler og verifiser at kun helt nødvendig utgående/inngående trafikk er tillatt, ingen ting annet
- Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
- Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
- Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
- Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IoT-enheter, administrasjonsnett og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
- Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
- Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
- Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]
Kilder:
[1] https://www.dell.com/support/security
[2] https://eclypsium.com/research/bmcc-lights-out-forever/
[3] https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/
[4] https://www.cisa.gov/news-events/alerts/2023/06/14/cisa-and-nsa-release-joint-guidance-hardening-baseboard-management-controllers-bmcs
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up