В начале сентября специалисты компании Eclypsium, занимающейся IT-безопасностью, заявили об обнаружении уязвимости в материнских платах компании Supermicro, которая год назад стала героем скандала с китайскими шпионскими чипами. Новая уязвимость позволяет подключиться через интернет как минимум к 47 тысячам серверов и в теории сделать с ними все, что угодно.
Eclypsium — орегонский стартап, основанный выпускником московского физтеха Юрием Булыгиным (CEO) и Алексом Бажанюком (CTO), который окончил киевский политех. По данным LinkedIn, оба — выходцы из Intel. Первый провел там 11 лет на разных должностях, связанных с поиском аппаратных дыр, второй — 4 года на позиции старшего исследователя по безопасности.
Компания, где работает несколько десятков человек, специализируется на поиске уязвимостей в прошивках и аппаратном обеспечении. Стартап поднял посевной раунд на $2,3 млн от Andreessen Horowitz, Intel Capital и Ubiquity Ventures, а в конце 2018-го — еще 8,75 млн от Madrona Venture Group. Эти деньги пустят на защиту крупных компаний от новых угроз, которые потенциально грозят технокорпорациям миллиардными убытками.
Потенциальные клиенты Eclypsium уже потратили миллиарды долларов на поиск уязвимостей в программном обеспечении, однако умение найти дыру в прошивке или аппаратном компоненте пока довольно редко и пользуется большим спросом.
Эта заметка изначально была написана для технорассылки The Bell. Подписаться на нее можно здесь.
«Большой взлом»
Особенно спрос на специалистов по аппаратным уязвимостям вырос в октябре 2018 года после публикации Bloomberg Businessweek о «большом взломе». Со ссылкой сразу на 17 анонимных источников издание писало, что Народно-освободительная армия Китая подкупом и шантажом заставила подрядчиков производителя материнских плат Supermicro внедрить шпионские устройства.
Размер таких устройств был очень невелик, а сами они предназначались для контроля серверов в американских «облаках» — в том числе защищенной инфраструктуре ЦРУ и ВМС США.
Специалисты по безопасности скептически отнеслись к сообщению, которое предполагало, что под угрозой вся система поставок электроники из Китая, где собирается до 90% ПК.
Компании, которые упоминались в статье, отрицали (Amazon, Apple) не только попытки взлома, но и все изложенные факты — в том числе факт обнаружения «закладок» в своих серверах. Несмотря на это, Businessweek не стал удалять статью и не исправил ее. Предшествовавший статье отказ Apple от сотрудничества с Supermicro и продажа корпорацией Amazon облачной инфраструктуры китайскому партнеру остались необъясненными.
То, что Businessweek писал именно о Supermicro, технокорпорации восприняли особенно болезненно (а сама компания за день подешевела вдвое). Ключевое направление бизнеса компании — создание серверных архитектур на заказ. Если китайская армия и хотела бы внедрить куда-то жучки, лучше места, чем специализированные серверы, производство которых находится в Китае, не найти.
Businessweek писал о том, что злоумышленники подключали «закладки» к контроллеру управления базовой платой (baseboard management controller, BMC). Такие контроллеры — изобретение для простого администрирования серверов. Администратор должен иметь возможность обновить прошивку сервера, установить туда дополнительное ПО или сделать еще что-то, не заходя физически в дата-центр. Если перехватить управление BMC, можно управлять напрямую сервером.
Но для того, чтобы управлять BMC, необязательно обладать возможностями китайской армии. Сами серверные контроллеры проектируются достаточно небрежно — в них регулярно находят уязвимости.
По иронии судьбы, именно большое число «дыр» в материнских платах Supermicro — ключевой аргумент против материала Businessweek. Некоторые эксперты утверждают, что злоумышленникам не требовалось идти на завод, а достаточно было задействовать уже известные прорехи в безопасности.
Одна из новых уязвимостей обнаружилась благодаря Eclypsium.
Уязвимость USBAnywhere
Даже самый далекий от IT-безопасности человек знает, что не стоит вставлять незнакомую флешку в рабочий компьютер, особенно если на нем хранится конфиденциальная информация. Уязвимость, которую нашла компания Булыгина и Бажанюка, позволяет вставить виртуальный аналог такой флешки в сервер — и физического присутствия для этого не требуется.
Исследователи назвали уязвимость USBAnywhere. Злоумышленник может подключиться к BMC материнских плат все той же Supermicro и сымитировать подключение любого USB-устройства. Когда понадобится закачать данные — флешки, когда понадобится ввести команду — клавиатуру.
Обычно подключиться к BMC можно только через защищенную внутреннюю сеть, однако специалисты Eclypsium обнаружили, что как минимум 47 тысяч таких модулей в 90 странах с возможностью подключения виртуальной «флешки» доступны через интернет по стандартному порту.
Сколько их всего — никто не знает. Многие изученные серверы используют неменявшийся пароль по умолчанию, слабое шифрование и в придачу дают злоумышленнику возможность обойти аутентификацию.
Что можно отсюда вынести?
Четыре вещи:
Проблема касается вас напрямую. Только в России специалисты Eclypsium простым сканированием через поисковик SHODAN обнаружили 8050 BMC с выходом в интернет. По этому показателю страна уступает только США, где найдено 29 835 потенциально уязвимых серверов. В десятку входит также Украина с 1523 BMC.
О проблеме известно давно, но она мало обсуждается. Об атаках на BMC специалисты предупреждают с 2013 года, когда обнаружилось не менее 100 тысяч потенциально уязвимых и подключенных к интернету серверов Dell, HP и других производителей.
Никому не верьте. Не следует слепо доверять даже премиальным провайдерам облачных услуг и подключать критическую инфраструктуру туда, где к ней можно подключиться через интернет, как бы удобно это ни было. Еще в январе Eclypsium сообщал об уязвимостях в серверах IBM и других крупных облачных провайдеров.
Халатность и беспечность недопустимы. Администраторы зачастую в вопросах аппаратной защиты прибегают к принципу «безопасность через неясность», рассчитывая, что злоумышленник не будет прилагать больших усилий для взлома. Вне зависимости от того, интересуется ли хранимыми вами в облаке данными китайская военная разведка, в самих серверных комплектующих и их прошивках достаточно «дыр», которые могут использовать хакеры.