低コストのKVMデバイスで発見された脆弱性により、攻撃者はこれらが接続されているすべてのものに物理的アクセスと同等のものを得ることができます。
研究者たちは、4つの人気のある低コストKVM-over-IPデバイスで9つの脆弱性を発見しており、認証なしのコマンドインジェクションから認証防御が弱く、ファームウェア更新が安全でない問題までさまざまです。ビジネス環境でこれらのデバイスの存在感が増していることを考えると、IT管理者とマネージドサービスプロバイダーが意図的に配置した場合でも、シャドーITとして導入された場合でも、これらの欠陥は特に懸念されています。
KVM-over-IPデバイスにより、ユーザーはOSが実行されていない場合はBIOSレベルを含めて、キーボード、ビデオ、マウスの完全なアクセスで、物理的に存在するかのようにコンピュータをリモートで制御できます。企業は長い間、マルチファクタ認証、暗号化、ロギングなどのセキュリティ機能を備えた数百ドルから数千ドルのコストで設置されたマルチポートKVMスイッチに依存してきました。
最近、予算が限られている小規模な企業とITチームは、同じアクセスを手ごろな価格で提供するコンパクトでLinuxベースのシングルポートKVMデバイスの新しいクラスに目を向けることが増えています。ただし、これらのファームウェアとアクセス制御の品質はそれほど強力ではありません。
セキュリティ企業Eclypsiumの研究者たちが最近数ヶ月の間にこれらの安価なモデルのいくつかを分析し、認証のブルートフォース保護の欠如、安全でないファームウェア更新メカニズム、露出されたデバッグインターフェース、完全なデバイス乗っ取りにつながるとされる認証なしの脆弱性を発見しました。
インターネットに直接露出しているこのようなデバイスの数は1年以下前の数百台から1,600台を超えるまでに増えているとEclypsiumによると述べられています。大きな数に聞こえないかもしれませんが、これらのデバイスのユーザーは小規模なIT企業とMSPから、多くの業界分野にまたがる企業までさまざまです。
「エンタープライズデータセンターとコロケーション施設は、リモートサーバー管理にIP-KVMを使用しています」とEclypsiumの研究者たちは述べました。「産業およびOT環境は、危険エリア内のHMIマシンを管理するためにそれらを配置しています。医療施設は、簡単に再起動できないイメージングスイートと研究室のシステムに使用しています。政府および防衛機関は、物理的アクセスが護衛と承認を必要とするミッションクリティカルなサーバーに依存しています。」
基本的な見落とし
9つの脆弱性はGL-iNet、Angeet/Yeeso、Sipeed、およびJetKVMのデバイスに影響を与えます。
CVSS 9.8の最も深刻な欠陥は、Angeet/Yeeso ES3 KVMで発見され、ネットワークアクセスを持つ任意の攻撃者が保護されていないアップロードエンドポイント経由でデバイスに任意のファイルを書き込むことを許可します。別のコマンドインジェクションの欠陥と組み合わされると、認証前のリモートコード実行と管理者特権の前提を作成します。Angeetは欠陥の修正にコミットしていますが、Eclypsiumへのタイムラインを提供していません。
GL-iNet Comet RM-1には4つの脆弱性があり、認証のブルートフォース保護の欠如とプロビジョニング中の安全でない接続が含まれます。このデバイスは、ファームウェア更新メカニズムのために簡単に破られるMD5ハッシュ関数を使用しており、暗号署名がありません。その結果、攻撃者はデバイスが受け入れるバックドア付きファームウェアイメージを作成できる可能性があります。
別に、デバイスのUART シリアルインターフェースはデバイスに物理的にアクセスできる人に認証なしのルートアクセスを提供しています。GL-iNetはベータリリースで部分的な修正をリリースしていますが、ファームウェア署名またはUART認証の修正は予定されていません。
低コストKVMセグメントで最も人気のあるデバイスの1つであるJetKVMも、暗号署名のないSHA-256ハッシュと単一パスワードログインのブルートフォース保護に依存するオーバーザエアー(OTA)更新メカニズムを使用していました。両方の欠陥はパッチされました。
SipeedのNanoKVMには、デバイスのネットワーク接続をハイジャックするために悪用される可能性のある認証なしのWiFi設定エンドポイントがありました。欠陥は現在パッチされています。
「これらは数ヶ月間のリバースエンジニアリングを必要とするエキゾチックなゼロデイではありません」とEclypsiumの研究者たちは述べました。「これらはネットワーク接続されたデバイスが実装すべき基本的なセキュリティ管理です。入力検証、認証、暗号検証、レート制限。私たちは10年前の初期のIoTデバイスを悩ませていたのと同じクラスの障害を見ていますが、今はそれが接続されているすべてのものに物理的アクセスと同等のものを提供するデバイスクラスを見ています。」
ステルスバックドア
侵害されたKVMデバイスは、任意の環境で強力なバックドアになる可能性があります。攻撃者はキーストロークをインジェクトしてコマンドを実行したり、ディスク暗号化やSecure Bootなどのセキュリティ機能を無効にするためのUEFI設定にアクセスしたりできます。
デバイスは制御されたシステムのOSの外で動作するため、エンドポイント検出ツールとホストファイアウォールはそれを見ることはできません。これらのデバイスは独自のLinuxベースのファームウェアを実行し、攻撃者はマルウェアを隠して、ディスク完全削除後でも接続されたシステムを再感染させることができます。
「KVMデバイスを侵害することで、攻撃者はそれに接続されているすべてのマシンに物理的アクセスと同等のものを得ます」とEclypsiumの研究者たちは警告しました。「物理的アクセスの『ような』ものではありません。実際のキーボード、ビデオ、マウスの制御、BIOSレベル、オペレーティングシステムの下、EDRの下、配置したすべてのセキュリティ管理の下。」
リモートワーカーを装った北朝鮮のスパイは、雇用主から提供されたラップトップとワークステーションに接続されたPiKVMデバイスを使用して、異なる国での物理的な存在を偽造し、企業ネットワークへのアクセスを獲得しました。
エンタープライズグレードのKVMスイッチも脆弱性から免れていません。主要なベンダーの1つであるATENは昨年その製品の一部で重大なバッファオーバーフロー脆弱性をパッチしました。ベースバンド管理コントローラー(BMC)インターフェースは、サーバー製品で一般的なオーバーアウトオブバンド管理テクノロジーのもう1つのタイプで、数年間脆弱性に悩まされており、一部はrootkitを配置するために悪用されました。
Eclypsiumは、KVMデバイスを専用の管理VLAN上に隔離し、インターネットに直接露出せず、利用可能な場合は二要素認証をデプロイし、それらにアクセスするためのVPNソリューションを使用するよう組織に助言しています。企業はまた、認識していない可能性のあるネットワーク上のKVMデバイスの監査を行い、利用可能な場合はファームウェア更新をデプロイする必要があります。
「KVMの配置を監査してください」と研究者たちは書きました。「何があるのか、どこにあるのか、どのファームウェアが実行されているのかを知ってください。これらのデバイスはあなたの王国の鍵であり、現在、それらの多くはドアが大きく開いているネットワークに掛かっています。」
