BMC-firmwarefouten bij Gigabyte- en Lenovo-servers

Gigabyte en Lenovo hebben firmware-updates uitgebracht voor een aantal van hun servermoederborden nadat er beveiligingsrisico’s gevonden werden in MergePoint EMS, in de firmware van een component van de moederborden. Twee verschillende bugs gecombineerd met end-of-life en een complexe supply chain maken het patchen nogal complex, meldt ZDNet.

Zowel Lenovo als Gigabyte gebruiken MergePoint EMS als de baseboard management controller (BMS) software die gebruikt wordt door servermoederborden van de bedrijven. De firmware bevatte twee fouten die kwetsbaarheden veroorzaakten. De BMC is een zelfstandige unit met een kleine processor, geheugen en LAN-interface, wat diensten als IPMI mogelijk maakt, waardoor je extern toegang kan krijgen tot de server, zonder dat daar enige software op hoeft te draaien. De complete schermuitvoer, toetsenbord en muis kunnen via IPMI worden getoond.

De gevonden beveiligingsproblemen waren enerzijds dat er geen cryptografisch veilig updateproces aanwezig is, wat betekent dat met iedere aanval door hackers die toegang tot een geïnfecteerd apparaat hebben de firmware zonder tegenstand overschreven kan worden. Anderzijds was er een probleem met de veiligheid van het invoeren van commando’s, wat betekent dat een aanvaller kwaadaardige code kan draaien op een host die de MergePoint EMS firmware draait. Beide problemen hebben als voorwaarde dat aanvallers zich al toegang verschaft hadden tot een apparaat, dus servers op afstand kunnen niet via deze beveiligingsrisico’s aangevallen worden.

Patches

Zowel Lenovo als Gigabyte zijn met patches gekomen om de problemen op te lossen. Lenovo heeft in 2018 al een firmwareupdate uitgebracht die alleen het tweede genoemde zwakke punt oploste. Volgens Lenovo waren cryptografisch veilige firmwareupdates niet de standaard in 2014, toen de MergePoint EMS firmware voor het eerst gebruikt werd in hun BMC’s. Producten die door dit probleem zijn getroffen zullen dus end-of-life bereiken zonder dat het probleem wordt verholpen.

Net als Lenovo gaat Gigabyte het probleem met firmwareupdates niet patchen, wel is in mei het andere probleem gedicht, maar in tegenstelling tot Lenovo gebeurde dit zonder een officieel bericht over het hoe en waarom. Gigabyte kondigde wel aan dat het MergePoint EMS niet meer gaat gebruiken en wisselt naar AMI-gebaseerde firmware voor servermoederborden. Helaas zijn de moederborden van Gigabyte ook gebruikt in third-party servers van andere leveranciers, wat betekent dat gebruikers moeten gaan uitvinden welke BMC-controller en welke firmware hun apparaat gebruikt om zeker te weten dat ze geen beveiligingsrisico lopen.