BMC Mahakuasa dari Quanta tetap rentan terhadap ancaman Pantsdown kritis

Pada Januari 2019, seorang peneliti mengungkapkan kerentanan yang menghancurkan di salah satu perangkat paling kuat dan sensitif yang disematkan ke server dan workstation modern. Dengan tingkat keparahan 9,8 dari 10, kerentanan memengaruhi berbagai pengontrol manajemen alas tiang (BMC) yang dibuat oleh beberapa produsen. Komputer kecil ini disolder ke motherboard server memungkinkan pusat cloud, dan terkadang pelanggan mereka, untuk merampingkan manajemen jarak jauh dari armada komputer yang luas. Mereka memungkinkan administrator untuk menginstal ulang OS dari jarak jauh, menginstal dan menghapus aplikasi, dan mengontrol hampir semua aspek lain dari sistem—bahkan ketika dimatikan.

Pantsdown, sebagaimana peneliti menyebutnya sebagai ancaman, memungkinkan siapa saja yang sudah memiliki akses ke server kesempatan luar biasa. Memanfaatkan kelemahan baca/tulis yang sewenang-wenang, peretas dapat menjadi admin super yang terus-menerus memiliki tingkat kontrol tertinggi untuk seluruh pusat data.

Industri memobilisasi … kecuali satu

Selama beberapa bulan ke depan, beberapa vendor BMC mengeluarkan tambalan dan saran yang memberi tahu pelanggan mengapa menambal kerentanan itu penting.

Sekarang, para peneliti dari perusahaan keamanan Eclypsium melaporkan temuan yang mengganggu: untuk alasan yang masih belum terjawab, BMC yang banyak digunakan dari penyedia solusi pusat data Quanta Cloud Technology, lebih dikenal sebagai QCT, tetap tidak ditambal terhadap kerentanan baru-baru ini bulan lalu.

Seolah kelambanan QCT tidak cukup, postur perusahaan saat ini juga tetap membingungkan. Setelah Eclypsium secara pribadi melaporkan temuannya ke QCT, perusahaan solusi menjawab bahwa mereka akhirnya memperbaiki kerentanannya. Tetapi alih-alih menerbitkan nasihat dan membuat tambalan menjadi publik — seperti yang dilakukan hampir setiap perusahaan ketika memperbaiki kerentanan kritis — itu memberi tahu Eclypsium bahwa itu menyediakan pembaruan secara pribadi berdasarkan pelanggan demi pelanggan. Saat posting ini akan ditayangkan, “CVE-2019-6260,” sebutan industri untuk melacak kerentanan, tidak muncul di situs web QCT.

Dalam sebuah email, Eclypsium VP of Technology John Loucaides menulis:

Eclypsium terus menemukan bahwa server khusus (mis. Quanta) tetap tidak ditambal untuk kerentanan sejak tahun 2019. Hal ini memengaruhi banyak perangkat dari sejumlah besar penyedia cloud. Masalahnya bukan pada satu kerentanan, itu adalah sistem yang membuat server cloud lama dan rentan. Quanta baru saja merilis patch untuk sistem ini, dan mereka tidak menyediakannya untuk verifikasi. Faktanya, tanggapan mereka kepada kami adalah bahwa itu hanya akan tersedia atas permintaan untuk mendukung. ”

Beberapa perwakilan Quanta tidak menanggapi dua email yang dikirim selama beberapa hari berturut-turut yang meminta konfirmasi garis waktu Eclypsium dan penjelasan tentang proses dan kebijakan penambalannya.

Saat ini, tetapi tidak ditambal

Sebuah posting blog Eclypsium yang diterbitkan pada hari Kamis menunjukkan jenis serangan yang mungkin dilakukan pada BMC QCT menggunakan firmware yang tersedia di halaman pembaruan QCT pada bulan lalu, lebih dari tiga tahun setelah Pantsdown terungkap.

Video Eclypsium yang menyertai menunjukkan penyerang mendapatkan akses ke BMC setelah mengeksploitasi kerentanan untuk memodifikasi server webnya. Penyerang kemudian mengeksekusi alat yang tersedia untuk umum yang menggunakan Pantsdown untuk membaca dan menulis ke firmware BMC. Alat ini memungkinkan penyerang untuk memasok BMC dengan kode yang membuka shell web terbalik setiap kali administrator yang sah menyegarkan halaman web atau terhubung ke server. Saat berikutnya admin mencoba mengambil salah satu tindakan, itu akan gagal dengan kesalahan koneksi.

Namun, di balik layar, dan tanpa sepengetahuan admin, cangkang terbalik penyerang terbuka. Mulai saat ini, penyerang memiliki kendali penuh atas BMC dan dapat melakukan apa pun dengannya yang dapat dilakukan oleh admin yang sah, termasuk membuat akses lanjutan atau bahkan mem-brick server secara permanen.

Kekuatan dan kemudahan penggunaan eksploitasi Pantsdown bukanlah hal baru. Apa yang baru, bertentangan dengan harapan, adalah bahwa jenis serangan ini tetap mungkin terjadi pada BMC yang menggunakan firmware QCT yang disediakan baru-baru ini bulan lalu.

Keputusan QCT untuk tidak mempublikasikan versi patch dari firmware atau bahkan nasihat, ditambah dengan keheningan radio dengan wartawan mengajukan pertanyaan yang sah, harus menjadi tanda bahaya. Pusat data atau pelanggan pusat data yang bekerja dengan BMC perusahaan ini harus memverifikasi integritas firmware mereka atau menghubungi tim dukungan QCT untuk informasi lebih lanjut.

Bahkan ketika BMC berasal dari produsen lain, pusat cloud, dan pusat cloud, pelanggan tidak boleh berasumsi bahwa mereka ditambal terhadap Pantsdown.

“Ini adalah masalah serius, dan kami tidak percaya ini adalah kejadian yang unik,” tulis Loucaides. “Kami telah melihat perangkat yang saat ini digunakan dari setiap OEM yang tetap rentan. Sebagian besar dari mereka memiliki pembaruan yang tidak diinstal. Namun, sistem Quanta dan respons mereka membedakannya.”