Quanta Cloud Technology的Pantsdown漏洞仍未解决
关键要点
- Eclypsium发现Quanta Cloud Technology服务器上的Pantsdown漏洞仍未得到解决,表明厂商和企业安全专业人员对固件漏洞的处理方式存在问题。
- Pantsdown漏洞源于ASPEED硬件的调试控制暴露,该漏洞的CVSS评分高达9.8。
- 虽然部分供应商如NetApp已迅速采取措施修复该漏洞,但Quanta Cloud Technology并未对其服务器进行更新。
- 固件问题往往超出了许多企业安全从业者的舒适区,因此缺乏重视和应对。
2019年,一组研究人员发现了Pantsdown,这是一个在ASPEED基板管理控制器硬件中的漏洞,CVSS分数高达9.8。三年后,固件安全供应商Eclypsium仍未发现QuantaCloud Technology的服务器对此漏洞做出任何响应,形成了一个典型案例,反映出厂商和企业安全专业人士对固件漏洞的态度。
“实际上,这是一个案例研究,”Eclypsium技术副总裁John Loucaides对SC Media表示。
虽然许多厂商都生产BMC,但这些芯片组往往来自相同的制造商。然而,像许多供应链问题一样,这一漏洞并不能通过上游供应商的“一键修复”解决。
“问题的关键在于,这不仅是修复一次就能解决的。每台服务器在嵌入组件的方式上可能各有不同,而每一台服务器是否存在该漏洞,又取决于具体开发团队是否为该型号和固件版本采取了锁定措施。”
Loucaides指出。
同时,固件问题往往超出了许多企业安全从业者的舒适区,因为他们通常是在操作系统之上工作。在Eclypsium的经验中,一些厂商在固件测试上的反应也显得不够稳定,或者缺乏足够的人力资源来自信地处理这类问题。
最终,Eclypsium认为,Pantsdown让整个行业处于“裤子掉了”的状态。
Eclypsium表示,Quanta CloudTechnologies告知他们已经创建了一个补丁,但仅在客户要求时提供,并未主动推送或宣传此补丁的存在。Quanta未立即对此请求作出回应。
“固件在这个世界上占有一个比较模糊的地位,它非常重要,使一切都能正常运转。但它往往又被忽视,置于人们不会考虑到的地方。” Loucaides说。
虽然他无法单独针对Quanta发表意见,但这导致整个行业将固件补丁视为可选。
“我过去发现过几个BIOS更新,基本上说,如果你没有实际问题,就不要安装BIOS更新。”他说。
虽然固件攻击传统上是国家行为的领域,但没有保证罪犯会将其长久保持这种态度。例如,2019年袭击市政当局的Robbinhood勒索软件就依赖于固件。
“每年的攻击手法越来越容易。例如,这个问题是2019年的CV,它已经存在多年。” Loucaides补充道。
