Meeste moederborden hebben potentiële spionchip

De Amerikaanse computerbeveiligingsexpert Dan Farmer ontdekte dat op zowat alle werkstation- en server-moederborden van de laatste 15 jaar een chip zit waarmee hackers potentieel jarenlang ongemerkt een volledig netwerk kunnen bespioneren.

De Amerikaanse computerbeveiligingsexpert Dan Farmer ontdekte dat op zowat alle werkstation- en server-moederborden van de laatste 15 jaar een chip zit waarmee hackers potentieel jarenlang ongemerkt een volledig netwerk kunnen bespioneren.

Op zowat alle professionele moederborden van de laatste 10 à 15 jaar zit een zogenaamde Baseboard Management Controller (BMC). Dit is een computer-in-de-computer met eigen processor, geheugen, opslag en netwerkverbinding die onafhankelijk van het besturingssysteem werkt en gebruikt wordt voor beheerdoeleinden. Volgens Dan Farmer vormt die BMC een groot veiligheidsrisico. Hackers die erin slagen één BMC over te nemen, hebben potentieel toegang tot alle servers en werkstations in een netwerk. Die toestand kan jarenlang ongemerkt blijven, schrijft Farmer in een interessant artikel getiteld IPMI: Freight Train to Hell.

De BMC draait een eigen Linux-gebaseerd minibesturingssysteem en wordt gebruikt voor “out-of-band” systeembeheer. Elke fabrikant heeft zijn eigen versie van dit minibesturingssysteem: IPMI (Intel), iDRAC (Dell), iLO (Hewlett-Packard), IMM2 (IBM) enz. De BMC heeft quasi volledige toegang tot de rest van het moederbord, los van het besturingssysteem en de beveiligingssoftware die erop draait.

De wachtwoordenbeveiliging van de BMC is volgens Farmer erg zwak. Dezelfde wachtwoorden mogen onbeperkt worden hergebruikt, zowel binnen één server als bij alle servers en werkstations in één netwerk. De wachtwoorden worden bovendien niet versleuteld en zijn daardoor zichtbaar voor scansoftware. Omdat het wachtwoord permanent opgeslagen wordt in de BMC zelf, kan een aanvaller het ook nog bij oude weggegooide hardware uitlezen.

IPMI-netwerkverkeer blijft meestal beperkt tot een intern VLAN of beheernetwerk, maar als een hacker toch beheertoegang verkrijgt tot een server kan hij communiceren met een BMC en eventuele onbeveiligde privénetwerken. Als de hacker erin slaag het BMC-wachtwoord uit te lezen, heeft hij onbeperkte toegang tot alle systemen binnen het netwerk waarop een BMC-chip aanwezig is. “In that bleak event all bets and gloves are off,” schrijft Farmer.

Een verder probleem is dat gebruikers zelf geen patches kunnen uitvoeren voor het “besturingssysteem” van de BMC. Eventuele fouten die erin aanwezig zijn, blijven vaak jarenlang aanwezig, omdat de fabrikant van de chip geen patches uitbrengt.

In een reactie op de blog van security-goeroe Bruce Schneier merkt Farmer op dat zijn artikel geen theorie is: “Ik heb al root-toegang verkregen op BMCs en wachtwoorden opgevraagd.” Farmer ontdekte minstens één fout die volledige toegang geeft tot een BMC van een OEM-fabrikant die hij voorlopig niet wil noemen. Farmer heeft de betrokken fabrikant gewaarschuwd zodat die een patch kan uitbrengen.

“Dit is een perfect spionageplatform,” schrijft Farmer. “Je kunt het niet controleren. Je kunt het niet patchen. Het kan je computerhardware en -software volledig overnemen. En het heeft als doel (om computers) op afstand te beheren.”