Supermicro基板管理控制器韌體存在能被輕易利用的漏洞

Supermicro基板管理控制器（BMC）出現重大層級漏洞CVE-2024-36435，這項漏洞起初由Nvidia資安團隊通報，該公司於7月發布公告及新版韌體因應。針對此事，9月底資安業者Binarly揭露相關細節。

此漏洞引起研究人員高度關注的原因，在於攻擊者可在未經身分驗證的情況下，輕易地藉由發出請求觸發弱點，引起記憶體堆疊溢位，最終有機會執行任意程式碼。Binarly認為，這是今年度最嚴重的BMC漏洞。

針對這項漏洞，根據Supermicro在公告當中的說明，發生的原因在於韌體的GetValue功能函數並未檢查輸入的值，而有機會引發記憶體緩衝區溢位，影響BMC的網頁伺服器元件。部分的X11、X12、H12、B12、X13、H13，以及搭載CMM6模組的B13主機板曝險。MITRE評估其CVSS風險評分達到9.8。

Binarly針對這項漏洞進一步分析，他們提到該漏洞存在於BMC的網路元件，假如攻擊者能夠存取BMC網頁介面，就能利用漏洞，而且，過程中無須通過身分驗證，也不需要使用者互動。

一旦攻擊者發出POST請求到/cgi/login.cgi，就會交由login.cgi程式進行處理，此程式的主函數cgiGetPostVariable便會嘗試取得使用者提供的帳密資料，但該功能函數只檢查收到的HTTP存取請求類型是POST或DELETE，以及body的內容不是空值，然後呼叫GetValue功能函數進行後續處理、解碼，但過程裡並未對輸入內容執行長度限制，從而導致輸入資料的實際大小，有可能與記憶體分配的緩衝區大小不符的情況。

研究人員指出，雖然Supermicro導入了名為NX的緩解措施，但攻擊者可濫用libc的小工具ROP猜測所需資訊，並指出根據他們的測試，攻擊者只要發出100個請求，就有機會達到程式碼執行的目的，他們也公布了概念性驗證（PoC）程式碼。

此外，若是搭配存在R12SPD-R主機板的漏洞BRLY-2024-023，攻擊者有機會在取得root權限後，持續在受害伺服器活動。另一方面，研究人員疑似在2年前Supermicro發布的韌體看到類似的修補手法，這代表當時已有人察覺相關弱點，但該公司可能後續未徹底清查與預防其他產品出現此類漏洞，因此，他們認為，這也凸顯軟體供應鏈安全實際執行的困難。