Menü

USBAnywhere-Bug legt Supermicro Server für Remote-Attacken offen

Angreifer könnten via Fernwartung auf einige Supermicro Server zugreifen und Malware abladen. Patches sind verfügbar.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge

(Bild: Artur Szczybylo/Shutterstock.com)

Von

Verschiedene Supermicro-Server-Modelle sind über das Internet attackierbar. Angreifer könnten über mehrere Wege mit vergleichsweise wenig Aufwand Zugriff auf Geräte bekommen und über einen virtuell gemountetes USB-Gerät Schadcode auf Geräte bringen. Die Schwachstelle ist mit dem Namen USBAnywhere betitelt.

Die Entdecker der Lücke von Eclypsium warnen in einem Beitrag, dass sie über 47.000 über das Internet erreichbare verwundbare Server aufgespürt haben – davon rund 6500 in Deutschland. Attacken sind aber auch im Netzwerk möglich, sodass die Dunkelziffer ziemlich hoch sein dürfte. Eine CVE-Nummer ist derzeit nicht bekannt. Auch eine Einstufung des Angriffsrisikos steht noch aus.

Konkret angreifbar sind die Supermicro-Server-Modelle X9, X10 und X11. Im Supportbereich listet Supermicro betroffene Server und abgesicherte BMC-Software auf. Die Schwachstelle findet sich in der Implementierung des Fernwartungsansatzes Baseboard Management Controller (BMC). Darüber können Admins aus der Ferne auf Server zugreifen.

Problematisch dabei ist, dass der zum Mounten von virtuellen USB-Laufwerken Virtual Media Service sich mit einem Standard-Passwort zufriedengibt. Außerdem könnte ein Angreifer eine aktive Admin-Session übernehmen. Sind die Zugangsdaten nicht bekannt, ist eine Entschlüsselung des bei der Authentifizierung zum Einsatz kommenden als unsicher geltenden RC4-Verfahrens vorstellbar. Weiterer Datenverkehr soll unverschlüsselt übertragen werden.

Ist der Zugriff auf Virtual Media Service gegeben, könnte ein Angreifer ein USB-Gerät mit Schadcode mounten und diesen auf dem Server ausführen. Gelingt dass, ist ein Angreifer beispielsweise in der Lage, Server neu zu booten und von einem präparierten System starten zu lassen.

Generell gilt, dass man Supermicro Server nur wenn unbedingt notwendig über das Internet zugänglich machen sollte. Wer sich vor dieser Schwachstelle absichern will, kann den TCP Port 623 sperren. Fernab davon sollte man Standard-Log-in-Daten immer ändern. (des)