Исследователи обнаружили девять уязвимостей в четырех популярных недорогих KVM-over-IP устройствах, от внедрения команд без аутентификации до слабых защит и небезопасных обновлений прошивки. Эти недостатки вызывают озабоченность из-за роста использования таких устройств в бизнесе. KVM-over-IP [...] — csoonline.com
Исследователи обнаружили девять уязвимостей в четырех популярных недорогих KVM-over-IP устройствах, начиная от внедрения команд без аутентификации и заканчивая слабыми механизмами защиты аутентификации и небезопасными обновлениями прошивки. Эти недостатки вызывают особую озабоченность ввиду растущего присутствия таких устройств в бизнес-средах, независимо от того, установлены ли они намеренно ИТ-администраторами и поставщиками управляемых услуг или появились как теневые ИТ.
Устройства KVM-over-IP позволяют пользователям удаленно управлять компьютерами так, как если бы они физически присутствовали, обеспечивая полный доступ к клавиатуре, видео и мыши, в том числе на уровне BIOS, когда операционная система не запущена. Предприятия давно полагаются на монтируемые в стойки многопортовые KVM-коммутаторы, которые включают функции безопасности, такие как многофакторная аутентификация, шифрование и ведение журналов, но стоят сотни или тысячи долларов.
В последнее время малый бизнес и ИТ-команды, работающие с ограниченными бюджетами, все чаще обращаются к новому классу компактных однопортовых KVM-устройств на базе Linux, которые предлагают тот же доступ при значительно меньшей стоимости. Однако качество их прошивки и средств контроля доступа далеко не так надежно.
Исследователи из компании по безопасности Eclypsium проанализировали несколько таких дешевых моделей за последние месяцы и обнаружили отсутствие защиты от атак методом перебора для аутентификации, небезопасные механизмы обновления прошивки, открытые отладочные интерфейсы и уязвимости, не требующие аутентификации, которые могут привести к полному захвату устройства.
Количество таких устройств, напрямую подключенных к интернету, выросло с нескольких сотен менее года назад до более чем 1600, по данным Eclypsium. Это может показаться небольшим числом, но пользователи этих устройств варьируются от небольших ИТ-отделов и MSP до предприятий, охватывающих множество отраслевых вертикалей.
«Центры обработки данных предприятий и колокационные объекты используют IP-KVM для удаленного управления серверами», — заявили исследователи Eclypsium. «Промышленные среды и среды OT развертывают их для управления HMI-машинами в опасных зонах. Медицинские учреждения используют их для систем в аппаратах визуализации и исследовательских лабораториях, которые нельзя легко перезагрузить. Государственные и оборонные объекты полагаются на них для критически важных серверов, физический доступ к которым требует сопровождения и разрешений».
Базовые упущения
Девять уязвимостей затрагивают устройства от GL-iNet, Angeet/Yeeso, Sipeed и JetKVM.
Самый серьезный дефект, с оценкой CVSS 9.8, был обнаружен в Angeet/Yeeso ES3 KVM и позволяет любому злоумышленнику с сетевым доступом записывать произвольные файлы на устройство через незащищенную конечную точку загрузки. В сочетании с отдельным дефектом внедрения команд это создает предпосылки для удаленного выполнения кода с привилегиями root до аутентификации. Angeet обязалась устранить недостатки, но не предоставила Eclypsium временных рамок.
GL-iNet Comet RM-1 имеет четыре уязвимости, включая отсутствие защиты от перебора для аутентификации и небезопасное соединение во время инициализации. Устройство также использует легко взламываемую хеш-функцию MD5 для механизма обновления прошивки и не имеет криптографической подписи. В результате злоумышленники могут потенциально создавать образы прошивки с бэкдорами, которые устройство примет.
Отдельно, последовательный интерфейс UART устройства предоставляет доступ root без аутентификации любому, кто имеет физический доступ к устройству. GL-iNet выпустила частичные исправления в бета-версии, но не планирует исправлений для подписи прошивки или аутентификации UART.
JetKVM, одно из самых популярных устройств в сегменте недорогих KVM, также использовало механизм обновления «по воздуху» (OTA), который полагался на хеши SHA-256 без криптографических подписей и не имел защиты от перебора для входа с одним паролем. Оба недостатка были исправлены.
NanoKVM от Sipeed имел конечную точку конфигурации WiFi, не требующую аутентификации, которую можно было использовать для перехвата сетевого соединения устройства. Этот дефект теперь устранен.
«Это не экзотические уязвимости нулевого дня, требующие месяцев обратной разработки», — заявили исследователи Eclypsium. «Это фундаментальные средства контроля безопасности, которые должно реализовывать любое сетевое устройство: проверка ввода, аутентификация, криптографическая верификация, ограничение скорости. Мы видим тот же класс сбоев, который преследовал ранние IoT-устройства десять лет назад, но теперь в классе устройств, предоставляющих эквивалент физического доступа ко всему, к чему они подключаются».
Скрытые бэкдоры
Компрометация KVM-устройства может стать мощным бэкдором в любой среде. Злоумышленник может внедрять нажатия клавиш для выполнения команд или получать доступ к настройкам UEFI для отключения функций безопасности, таких как шифрование диска и безопасная загрузка (Secure Boot).
Поскольку устройство работает вне операционной системы контролируемой системы, инструменты обнаружения конечных точек и брандмауэры хоста его не видят. Эти устройства запускают собственную прошивку на базе Linux, что позволяет злоумышленникам скрывать вредоносное ПО и повторно заражать подключенные системы даже после очистки дисков.
«Компрометация KVM-устройства дает злоумышленнику эквивалент физического доступа ко всем машинам, подключенным к нему», — предупредили исследователи Eclypsium. «Не «похоже» на физический доступ. Фактическое управление клавиатурой, видео и мышью, на уровне BIOS, ниже операционной системы, ниже EDR, ниже всех развернутых вами средств контроля безопасности».
Шпионы из Северной Кореи, выдававшие себя за удаленных работников, использовали устройства PiKVM, подключенные к ноутбукам и рабочим станциям, предоставленным им работодателями, чтобы имитировать свое физическое присутствие в разных странах и получать доступ к корпоративным сетям.
KVM-коммутаторы корпоративного класса также не застрахованы от уязвимостей. ATEN, один из ведущих поставщиков, исправила критические уязвимости переполнения буфера в некоторых своих продуктах в прошлом году. Интерфейсы Baseband Management Controller (BMC), еще один тип технологии внеполосного управления, распространенной в серверных продуктах, уже много лет страдают от уязвимостей, и некоторые из них даже использовались для развертывания руткитов.
Eclypsium советует организациям изолировать KVM-устройства в выделенных сетях VLAN для управления, никогда не выставлять их напрямую в интернет, развертывать двухфакторную аутентификацию там, где это возможно, и использовать VPN-решения для доступа к ним. Компаниям также следует проводить аудит своих сетей на предмет KVM-устройств, о которых они могут не знать, и устанавливать обновления прошивки по мере их появления.
«Проведите аудит ваших KVM-развертываний», — написали исследователи. «Знайте, что у вас есть, где это находится и какую прошивку оно использует. Эти устройства — ключи к вашему королевству, а в настоящее время слишком многие из них висят в сети с широко открытой дверью».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin