Kwetsbaarheid in supermicro-hardware kan achterdeurtje in IBM cloud-server aanbrengen

Een vijf jaar oude kwetsbaarheid in een veelgebruikte administratieve tool voor servers die gebruikt werden voor gevoelige en mission-critical computing, zorgt opnieuw voor problemen. De kwetsbaarheid bestaat dankzij baseboard management controllers (BMC’s), en bedreigt premium cloud-diensten van IBM en mogelijk andere providers, meldt Ars Technica.

BMC’s zijn microcontrollers die aan het moederbord vastzitten, waarmee bedrijven uitzonderlijke controle krijgen over servers in datacentra. Aan de hand van de Intelligent Platform Management Interface kunnen administrators besturingssystemen opnieuw installeren, apps installeren of aanpassen, en wijzigingen aanbrengen in de configuratie in een groot aantal servers. Hiervoor hoeven ze niet fysiek aanwezig te zijn in het datacentra, en in veel gevallen hoeven de servers niet aan te staan.

Onderzoekers waarschuwden in 2013 dat BMC’s die vooraf geïnstalleerd waren in servers van Dell, HP en diverse andere fabrikanten zo slecht beveiligd waren, dat ze aanvallers een sluikse en goede manier gaven om complete vloten aan servers in datacentra over te nemen.

Achterdeurtje

Nu hebben onderzoekers van beveiligingsbedrijf Eclypsium ontdekt dat BMC-kwetsbaarheden een risico vormen voor een premium cloud-dienst die IBM en mogelijk andere providers aanbieden. De premium dienst heet bare-metal cloud computing. De optie wordt aangeboden aan klanten die erg gevoelige data willen opslaan, maar niet willen dat het vermengd wordt op  servers die door andere klanten gebruikt worden.

Klanten kunnen dus exclusieve toegang kopen tot een server. Als ze de server niet meer nodig hebben, geven ze hem terug aan de provider. De provider moet dan de servers opschonen, zodat ze veilig gebruikt kunnen worden door de volgende klant. Maar volgens het onderzoek kunnen BMC-kwetsbaarheden dit model ondermijnen, door een klant toe te staan een achterdeurtje achter te laten. Dat achterdeurtje blijft actief als een server opnieuw is toegewezen.

De achterdeur maakt de klant kwetsbaar voor diverse aanvallen, zoals diefstal van data, DoS-aanvallen en ransomware.

IBM

IBM heeft inmiddels een verklaring gegeven over de kwetsbaarheid en het onderzoek. “We zijn niet op de hoogte van een klant of IBM-data die risico loopt vanwege deze mogelijke kwetsbaarheid, en we hebben actie ondernomen om de kwetsbaarheid te elimineren”, aldus het bedrijf.

“Gezien de stappen die we genomen hebben en de moeilijkheidsgraad van het exploiteren van deze kwetsbaarheid, denken wij dat de potentiële impact op klanten laag is. Hoewel het rapport zich richt op IBM, was dit eigenlijk een potentiële kwetsbaarheid voor alle providers van cloud-diensten, en we danken Exlypsium voor het onder de aandacht brengen hiervan.”