Критическая дыра в BMC трехлетней давности актуальна и для серверов QCT

Татьяна Никитина 27 Мая 2022 - 16:48

...

Критическая дыра в BMC трехлетней давности актуальна и для серверов QCT

Эксперты Eclypsium обнаружили, что серверы от Quanta Cloud Technology тоже уязвимы к атакам Pantsdown (англ. «застать врасплох»), об угрозе которых стало известно еще в 2019 году. Проблема связана с наличием критической уязвимости в BMC-контроллерах, которая позволяет захватить контроль над хостом и получить доступ к другим серверам в сети.

Микроконтроллеры BMC (Baseboard Management Controller) широко используются для удаленного управления серверными платформами. Они устанавливаются на материнской плате или подключаются как плата расширения по шине PCI и всегда активны, вне зависимости от состояния хост-сервера.

Уязвимость CVE-2019-6260 (9,8 балла CVSS), получившая известность как Pantsdown, позволяет получить удаленный доступ на чтение / запись к физическому пространству адресов BMC и выполнить любой код на сервере. В случае успешного эксплойта злоумышленник сможет украсть важные данные, перезаписать прошивку, развернуть руткит, вывести из строя хост-сервер и добраться до других серверов в той же группе IPMI — например, для внедрения в сеть шифровальщика.

После того, как стало известно об опасной находке (январь 2019), несколько крупных производителей серверных продуктов проверили свои портфолио и опубликовали информационные бюллетени, в том числе Supermicro, IBM, HP и Gigabyte. В прошлом году выяснилось, что проблема также затрагивает серверы QCT — решения для ЦОД, которые используют, в частности, Facebook и Rackspace.

Специалисты Eclypsium создали PoC-эксплойт для Pantsdown, который успешно отработал на QuantaGrid D52B с новейшей публично доступной прошивкой. Вендору сообщили о проблеме в октябре; в прошлом месяце вышло соответствующее обновление, которое распространяется в частном порядке — публикации, как узнали авторы отчета, не предвидится.

Из-за этого в Eclypsium не смогли определить, сколько QCT-серверов все еще под угрозой. Известно только, что Pantsdown актуальна для моделей D52BQ-2U, D52BQ-2U 3UPI и D52BV-2U, которые используют уязвимую версию BMC (4.55.00). Во избежание таких неприятностей, как iLOBleed, пользователям рекомендуют своевременно обновлять прошивки и регулярно проверять их на наличие признаков компрометации.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 28 Июля 2025 - 18:53

Атаки на сайты Целевые атаки Таргетированные атаки Сбои программ Сбои оборудования Общее

По стопам Аэрофлота: не работают сайт и приложение «Госуслуг»

Утром 28 июля пользователи по всей России столкнулись со сбоями в работе портала «Госуслуги» — не открывался сайт, не грузилось мобильное приложение, а кое-где и вовсе не работал личный кабинет и сервис оповещений. На проблемы массово пожаловались жители Москвы, Санкт-Петербурга, Нижегородской области, ХМАО и Свердловской области.

Информацию подтверждает сервис Downdetector.

Тем временем с похожими трудностями столкнулась и авиакомпания «Аэрофлот». В утренние часы там случился сбой в работе информационных систем, что привело к сбоям в цифровых сервисах и возможным задержкам и отменам рейсов. Пассажирам рекомендовали следить за актуальной информацией по вылетам и быть готовыми к временным неудобствам.

Позже в этот же день хактивистская группировка Silent Crow взяла на себя ответственность за атаку на ИТ-инфраструктуру перевозчика. По их словам, им удалось получить доступ к 122 внутренним системам, включая данные сотрудников и клиентов.

О масштабной кибератаке стало известно утром, и уже через 40 минут после первых признаков сбоя злоумышленники опубликовали заявление об атаке.

Случайность или звенья одной цепи — пока вопрос открытый. Но день для цифровых сервисов в России явно выдался неспокойным.