Continuant la discussion d'octobre sur le "hack chinois" rapporté par
Bloomberg dont les cartes mères Supermicro auraient été victimes, voici
une très récente contribution sur la faisabilité technique de la
contamination du BMC par implant d'un composant actif à la place d'une
résistance, sur une des lignes entre la mémoire flash et le BMC d'un
serveur Supermicro.
L'auteur a présenté à Leipzig fin 2018 une preuve de concept sur FPGA,
lui permettant d'altérer à la volé le code lu par le BMC au démarrage du
serveur, pour parvenir à afficher quelques caractères sur le port console.
And that is what this proof of concept hardware implant on the BMC SPI
bus does: it replaces one of the empty regions with a new inode that
overwrites the /nv/network/netconfig2 file with its own shell script,
since the /etc/rc.d/55ipmi.sh script will execute it as a subshell.
This PoC doesn't do much, other than print a message to the serial
console to indicate that it has achieved code execution during the boot
process.
Source: https://trmm.net/Modchips
Le reste de son article présente différentes hypothèses pour tenter de
distinguer si cette annonce était un fausse ou non. Sa conclusion est
prudente. Mais la quantité d'hypothèses passées en revue mérite d'être lue.
Du point de vue hardware, la partie la plus intéressante de son article
est celle où il décrit comment l'implant devrait collecter l'énergie
nécessaire à son fonctionnement par couplage capacitif, reconstituer le
signal d'horloge, écouter en permanence pour détecter la transmission,
etc. Ceci afin de ne pas devoir être connecté à d'autres lignes du PCB
que celle unique sur laquelle se trouve être normalement implantée la
résistance.
Normally the SPI bus requires six connections to function, but the
implant has only part of a single one. It doesn't connect to power or
ground, so it must be parasitically powered by the current flowing
from the SPI flash to the BMC during normal operation (similar to the
RFID CPUs that have enough capacitance to run even when they are
shorting the antenna coil). It doesn't have access to the chip select
line, so it has to guess when the chip is being read. It doesn't have
access to the clock line, so it has to guess the clock frequency. It
doesn't have access to the Serial Data In (SI or MOSI), so it has to
monitor the SO data to try to recognize where in the flash the BMC is
reading. And, due to the way it is constructed and powered, it can't
generate arbitrary bit patterns, it can only disconnect the line and
turn 1 bits into 0 bits. A simple matter of engineering to work around
these, right?
Souce: idem
--
Frédéric Dumas
f.du...@ellis.siteparc.fr
Le 05/10/2018 à 08:23, Alexandre DERUMIER a écrit :
un article un peu plus technique:
https://www.theregister.co.uk/2018/10/04/supermicro_bloomberg/
"The spy chip could have been placed electrically between the baseboard management
controller (BMC) and its SPI flash or serial EEPROM storage containing the BMC's
firmware. Thus, when the BMC fetched and executed its code from this memory, the spy chip
would intercept the signals and modify the bitstream to inject malicious code into the
BMC processor, allowing its masters to control the BMC."
Ca serait donc au niveau de la bmc.
Après est-ce que c'est exploitable si la bmc n'est pas accessible sur le net ?
vu la taille du chip, ca semble difficile d'implémenter un exploit ou autre
autonome.
----- Mail original -----
De: "Michel Py" <mic...@arneill-py.sacramento.ca.us>
À: "frnog-misc" <frnog-m...@frnog.org>
Envoyé: Vendredi 5 Octobre 2018 00:39:10
Objet: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro
Un troll de luxe pour ce vendredi !
https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies
En bref : les carte mères de serveurs Supermicro contiennent un composant conçu
par les services de renseignements Chinois qui permettrait de prendre le
contrôle du serveur. Comme un root kit, mais dans le matériel.
Michel.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
