多くのマザーボードに採用されているVertiv Group製BMCファームウェアに深刻な脆弱性が見つかった。BMCは独立したプロセッサなのでOSの再インストールでは防ぐことができない。
Lenovo、GIGA-BYTE Technology(GIGABYTE)などのメーカーが一部のサーバ製品に採用しているBaseboard Management Controller(BMC)のファームウェアに2つの深刻な脆弱(ぜいじゃく)性が見つかった。この脆弱性が悪用されるとOS、ハイパーバイザー、ウイルス対策システムからマルウェアが隠される恐れがあると調査員は警告する。
BMCは専用のプロセッサで、PC、ネットワークサーバなどのハードウェアの物理状態をセンサーで監視し、独立したネットワークを介してその結果をシステム管理者に送信する。
2つの脆弱性は、BMCのファームウェアの脆弱性を調査する過程でセキュリティ企業Eclypsiumの調査員によって発見された。
この脆弱性があるのはVertiv Group(前Avocent)製サードパーティーBMCファームウェアで、これによりデータの損失やハードウェアの永久的な損傷を受けやすくなる。BMCはOSとは完全に異なるレイヤーで動作するため、新しいOSをインストールしてもその脆弱性が残ることになる。
1つ目の脆弱性は、更新を受け入れる前に暗号化署名を検証する更新プロセスの障害。もう1つは、ファームウェアの更新プロセスを実行するBMCコードのコマンドインジェクションの脆弱性に関係する。
どちらの脆弱性も、(ホストベースの別の脆弱性を悪用するなど)攻撃者がホストで管理者特権を使ってBMC内部で任意のコードを実行できるようにする。その上、攻撃者はBMCのファームウェアに悪意を持った変更を加え、それをシステム内で永続的に保持し、OSの再インストールなど、一般的なインシデント対応手順が実施されても悪意のある変更をそこに残すことができるようになるというのが調査員の見解だ。
攻撃によってBMC内部を変更し、それ以降のファームウェア更新が行われないようにすることもできる。その結果、攻撃者はBMCを永久に無効化することが可能になる。攻撃者がBMCの管理パスワードを入手できたら、その更新メカニズムをリモートから悪用できる恐れがあるとも調査員は指摘する。
この発見を初めて公表したのはLenovoだった。同社は、セキュリティアドバイザリの中で、「Lenovo ThinkServer」の特定のレガシーサーバ製品で脆弱性を認識したと述べている。認識したのは、BMCファームウェアのダウンロードコマンドに存在するコマンドインジェクションの脆弱性だ。
このアドバイザリでは、「この脆弱性により、特権ユーザーはBMC内部で任意のコードのダウンロードと実行が可能になる。この脆弱性を悪用できるのは特権ユーザーに限られる」と述べている。
Lenovoは、同社に脆弱性を通知したEclypsiumの調査チームに謝意を表し、影響を受ける製品のBMCのファームウェアを確実に更新するよう顧客に要請している。また、該当するサーバの顧客に向けて、特権付きアクセスの承認を信頼できる管理者だけに制限することも推奨した。
GIGABYTEは2019年5月8日にASPEED Technologyの「AST2500」を利用するシステムの更新版ファームウェアを公開し、コマンドインジェクションの脆弱性を修正した。だが、この問題に関するアドバイザリは公開していない。「AST2400」のファームウェアはまだパッチが提供されていない(2019年6月21日時点)と調査員は話し、Vertivは調査員との対話に応じていないと付け加えている。
Eclypsiumの調査員によると、Vertiv製BMCのファームウェアはLenovoやGIGABYTEの製品に加えて、GIGABYTEが独自ブランドで提供している小規模システムインテグレーター向けマザーボードにも使用されているという。
つまり、Acer、AMAX、Bigtera、CIARA Technologies、Penguin Computing、sysGenなどのさまざまなサプライヤーのサーバに脆弱なファームウェアが組み込まれていることになる。
多くのサプライヤーが影響を受けることから、業界にとって重要な課題が浮き彫りになるとして、調査員は次のように話す。「大半のハードウェアベンダーは、自社でファームウェアを作成することはなく、サプライチェーンのパートナーに頼っている。ファームウェアはサードパーティーからライセンス供与されるのが極めて一般的で、ほとんど修正されることなく使われる。そのため多種多様なブランドや製品に脆弱性が広がることになる」(ブログ記事からの引用)
こうした事実を踏まえて、メーカーはライセンス供与を受けている全ファームウェアの脆弱性を徹底的にテストする必要がある。企業のセキュリティチームも、新しいハードウェア製品を受け入れる手順の一環として、ファームウェアのセキュリティスキャンを実行する必要があるというのが調査員の意見だ。
調査員は、BMCの脆弱性の範囲は今回発見された2つの脆弱性よりもさらに広がっていて、数社のサプライヤーに限定されないことにも注意を促している。
「業界大手のHewlett Packard EnterpriseやDellもBMCのファームウェアに独自の深刻な脆弱性を抱えていることが判明している。当社がSuper Micro Computerに行った以前の調査で示したように、サーバファームウェアの脆弱性は企業のITインフラに重大な影響を与える恐れがある。このような脆弱性によって、攻撃者が検出されない状態でサーバ内部に脆弱性を永続化することや、被害を受けたサーバを永久に無効にすることさえ可能になる」と調査員は話す。
攻撃者や国家が価値の高い資産を標的にするようになるにつれ、重要なサーバのBMCファームウェアは特に戦略的な標的になると調査員は話している。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
