USBAnywhere: Zehntausende Server mit Supermicro-Boards angreifbar

Eine falsche Werkseinstellung sorgte zuletzt dafür, dass zehntausende Server und Workstations ziemlich einfach über das Netz angreifbar waren. Auch vielen Administratoren fiel das Problem nicht auf, so dass die Systeme relativ frei zugänglich waren. Es ist nun allerdings höchste Zeit, sich um die Sache zu kümmern. Dem Sicherheitsproblem liegt ein Fehler zugrunde, der von Sicherheitsforschern beim Unternehmen Eclypsium entdeckt und als USBAnywhere bezeichnet wurde. Im Kern handelt es sich hier nicht um einen klassischen Bug, der durch einen Programmierfehler oder eine nicht bedachte Problemstelle in der Architektur entsteht, sondern um eine falsche Konfiguration mit gravierenden Folgen.

Die Ursache ist im Management-System von Servern zu finden. Dessen Kern stellt jeweils ein Baseboard Management Controller (BMC) dar. Dabei handelt es sich um einen eigenständigen kleinen Rechner mit CPU, Speicher und Netzwerk-Interface, der auf einem Server-Mainboard untergebracht ist. Admins können sich vom zentralen Terminal zu diesem verbinden und unabhängig vom eigentlichen Betriebssystem des Servers über Intelligent Platform Management Interface (IPMI) diverse Aufgaben wie Konfigurations-Änderungen bei der Hardware oder die Installation von Treibern erledigen.

USB übers Netz

Ein Bestandteil hiervon ist eine virtuelle USB-Schnittstelle. Diese ermöglicht es, dass ein Admin an seinem Terminal einen USB-Stick einsteckt, der dann vom Server direkt als eigenes Speichermedium angenommen wird - das ist für die Installation von Updates und Patches ziemlich hilfreich. Und hier hat sich beim Mainboard-Anbieter Supermicro ein gravierender Fehler eingeschlichen.

Die USB-Verbindung konnte hier nicht nur über interne Verbindungen, sondern auch über das Internet angesprochen werden. Das ermöglicht es einem Angreifer, so zu agieren, dass der Server annimmt, eine Malware würde vom eigenen Speicher kommen und somit kein besonderes Risiko darstellen. Hinzu kommt, dass die Authentifizierung nicht hinreichend sicher erfolgt und Angreifer so noch leichteres Spiel bekommen.

Betroffen sind von dem Problem die Supermicro-Mainbords X9, X10 und X100. Der Hersteller hat bereits erste Patches bereitgestellt, mit denen sich die gröbsten Probleme aus der Welt schaffen lassen. Admins sollten aber auch dahingehend aktiv werden, die Zugänge zum BMC auf das lokale Netzwerk zu beschränken.

Siehe auch: Groß-Ausfall bei Google: Falsche Server-Config legt Youtube & Co. lahm Server, Datenzentrum, Hosting SAP