Dell EMC устранил уязвимость в серверном контроллере удаленного доступа iDRAC, выявленную Positive Technologies
23, июль 2020 Эксперты Positive Technologies Георгий Кигурадзе и Марк Ермолов обнаружили опасную веб-уязвимость в серверном контроллере удаленного доступа Dell EMC iDRAC (1). Ее эксплуатация может привести к тому, что злоумышленник получит полный контроль над работой сервера для его включения и выключения, изменения настроек охлаждения, питания и т. п. Компания Dell EMC выпустила обновленную микропрограмму для устройства и рекомендует установить ее как можно скорее. Уязвимость с идентификатором CVE-2020-5366 относится к классу Path Traversal, она получила оценку 7.1, что соответствует высокому уровню опасности. Удаленный аутентифицированный злоумышленник с низким уровнем привилегий может использовать эту ошибку, чтобы получить несанкционированный доступ для чтения произвольных файлов. Несмотря на рекомендации Dell не подключать iDRAC к интернету и относительную новизну контроллера, в открытых поисковых системах уже можно обнаружить несколько подключений, которые доступны из глобальной сети, что облегчает реализацию атаки для злоумышленника. Кроме того, более 500 таких контроллеров доступны по протоколу SNMP (2). « Контроллер iDRAC осуществляет управление крупными серверами и является по сути отдельным компьютером внутри сервера. Устройство работает на базе обычной системы Linux, хотя и урезанной конфигурации, и имеет полноценную файловую систему , — рассказывает эксперт Positive Technologies Георгий Кигурадзе . — Уязвимость позволяет прочитать любой файл в операционной системе контроллера, в отдельных случаях прервать на некоторое время работу контроллера (например, при чтении символьных устройств Linux, таких как /dev/urandom), а при получении бэкапа привилегированного пользователя — заблокировать или нарушить работу сервера. Это может быть как внешняя атака, если у атакующего будут данные для авторизации, полученные, например, через перебор паролей (хотя это непросто, так как в продукте предусмотрена защита от перебора), так и внутренняя, со стороны аккаунта младшего администратора, у которого ограничен доступ к серверу ». « Выход за пределы каталога » (Path Traversal), по оценкам Positive Technologies , регулярно входит в топ-3 наиболее распространенных уязвимостей. С помощью Path Traversal злоумышленник может просмотреть содержимое тех папок на сервере, которые не должны быть доступны обычному пользователю даже в случае авторизации на сайте. Наиболее часто хакеры пытаются прочитать файл /etc/passwd, в котором хранится информация о пользователях Linux. Недавно были обнаружены две уязвимости этого типа в популярном приложении для онлайн-конференций Zoom, которые давали теоретическую возможность удаленному злоумышленнику проникнуть в систему любого из участников группового звонка. По оценкам IDC IDC, Dell является мировым лидером на рынке серверов. Вариант с iDRAC предлагается почти для всех текущих серверов Dell. Уязвимости подвержены контроллеры Dell EMC iDRAC9 с версиями прошивок до 4.20.20.20. Для устранения уязвимости необходимо установить микропрограммное обеспечение Dell EMC iDRAC9 v4.20.20.20, закрыть стандартные группы public и private SNMP и использовать SNMPv3 со всеми инструкциями безопасности. Кроме того, необходимо придерживаться лучших практик по использованию iDRAC:
Positive Technologies уже 18 лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявить, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в IT-инфраструктуре предприятий. Наши технологии построены на многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности. Сегодня свою безопасность нам доверяют более 2000 компаний в 30 странах мира. Следите за нами в соцсетях ( Facebook , ВКонтакте , Twitter ), а также в разделе « Новости » на сайте ptsecurity.com. (1) Контроллер удаленного доступа DelliDRAC — это аппаратный компонент, относящийся к классу b aseboard m anagement c ontroller,размещенный на материнской плате сервера. Контроллер позволяет системным администраторам удаленно обновлять, контролировать, искать и устранять неполадки, осуществлять восстановление системы Dell, даже когда сервер выключен. (2) SNMP — стандартный протокол для управления устройствами в IP-сетях. |
|