AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Investigadores de Binarly descubren cómo eludir el parche de Supermicro y comprometer el BMC

admin

#### Introducción

Un reciente hallazgo por parte de Binarly ha puesto de manifiesto graves deficiencias en el proceso de remediación de vulnerabilidades de Supermicro. Pese a la existencia de un parche publicado para una vulnerabilidad crítica en sus sistemas, los investigadores han demostrado que es posible eludir la mitigación y explotar nuevamente el sistema de gestión de placa base (BMC, por sus siglas en inglés). Este incidente subraya los desafíos persistentes en la protección de infraestructuras críticas y la importancia de una revisión exhaustiva en los procesos de remediación.

#### Contexto del Incidente o Vulnerabilidad

Supermicro, uno de los principales fabricantes mundiales de servidores y hardware para centros de datos, fue objeto en 2023 de una alerta de seguridad tras la identificación de una vulnerabilidad crítica en el firmware de sus BMC. El BMC es un componente esencial en la administración remota, permitiendo la monitorización y gestión de equipos independientemente del estado del sistema operativo principal. Su exposición a Internet o a redes compartidas lo convierte en objetivo prioritario para atacantes avanzados.

El fallo, inicialmente identificado bajo el CVE-2023-40284, permitía a un atacante remoto ejecutar código arbitrario en el BMC, logrando un control total de la máquina afectada. Supermicro publicó un parche en respuesta a la divulgación, en teoría mitigando el riesgo.

#### Detalles Técnicos

Según el análisis de Binarly, el parche original de Supermicro no abordó completamente el vector de ataque. El bypass descubierto permite evadir la protección implementada y explotar la vulnerabilidad original, manteniendo la capacidad de ejecución remota de código (RCE). El ataque se apoya en la manipulación de la validación de entradas dentro del firmware del BMC, permitiendo sobreescribir rutas de ejecución críticas.

El vector de ataque, catalogado dentro del marco MITRE ATT&CK como “Exploit Public-Facing Application” (T1190) y “Valid Accounts” (T1078) en escenarios con credenciales filtradas, puede aprovecharse tanto en entornos expuestos a Internet como en redes internas si el perímetro es traspasado. Los investigadores han publicado IoC específicos, incluyendo hashes de archivos alterados y patrones de tráfico anómalos asociados al exploit.

El exploit puede ser automatizado mediante frameworks como Metasploit, dado que la explotación se basa en peticiones HTTP/S manipuladas al servicio web del BMC. Existen ya PoC (proof of concept) disponibles en entornos restringidos, lo que eleva el riesgo de explotación masiva.

Las versiones afectadas comprenden múltiples modelos de Supermicro X10 y X11 con firmware BMC anterior a la revisión 3.88. La explotación exitosa concede privilegios de root en la administración remota, permitiendo el despliegue persistente de malware, rootkits de hardware y facilitando movimientos laterales dentro de la infraestructura.

#### Impacto y Riesgos

La criticidad de la vulnerabilidad reside en el nivel de acceso proporcionado por el BMC: el compromiso de este sistema permite a un atacante manipular el hardware subyacente, instalar implantes persistentes, interceptar tráfico y obstaculizar las labores forenses. En entornos de nube o data center, donde la virtualización y la multitenencia son la norma, el impacto puede extenderse a múltiples clientes y servicios.

Según estimaciones de mercado, hasta un 30% de servidores empresariales utilizan hardware Supermicro susceptible a esta vulnerabilidad. El coste asociado a una brecha de estas características puede superar los 3 millones de euros, considerando interrupciones, pérdida de datos y sanciones regulatorias bajo el RGPD (GDPR) y la inminente directiva NIS2.

#### Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos de seguridad y administración de sistemas realizar un inventario inmediato de los modelos afectados, comprobando las versiones exactas del firmware BMC. Supermicro ha publicado una actualización de emergencia (firmware 3.89 y posteriores) que debe ser aplicada de forma prioritaria.

Otras medidas incluyen:

– **Segmentación de red**: Restringir el acceso al BMC a redes de gestión aisladas.
– **Auditoría de accesos**: Monitorizar y alertar sobre accesos inusuales o repetidos al BMC.
– **Deshabilitación de servicios innecesarios**: Eliminar la exposición de interfaces web o IPMI a redes no confiables.
– **Aplicación de parches emergentes**: Mantenerse atentos a nuevas actualizaciones y comunicados de Supermicro y CERT.

#### Opinión de Expertos

Varios analistas de ciberseguridad han señalado que la recurrencia de vulnerabilidades en BMCs y la frecuente ineficacia de los parches iniciales evidencian una falta de madurez en los procesos de secure by design en fabricantes de hardware. “La administración de sistemas a nivel de hardware sigue siendo una de las mayores superficies de ataque desatendidas en las empresas”, apunta Daniel García, analista senior en ciberseguridad. Añade que “la automatización de exploits mediante herramientas como Metasploit puede facilitar campañas de ataque masivo si no se reacciona con rapidez”.

#### Implicaciones para Empresas y Usuarios

Este incidente obliga a revisar las políticas de actualización y gestión de activos en infraestructuras críticas, así como a reforzar la formación de los equipos SOC sobre amenazas persistentes a nivel de hardware. La posible explotación de la vulnerabilidad puede impactar la confidencialidad, integridad y disponibilidad de los sistemas, con especial relevancia en sectores regulados por GDPR y NIS2.

Las organizaciones deben considerar auditorías externas y pentesting regular sobre componentes BMC, y no limitarse a la aplicación reactiva de parches.

#### Conclusiones

El bypass al parche de Supermicro ilustra la necesidad de procesos de remediación más sólidos y colaborativos entre fabricantes e investigadores. La gestión segura del hardware requiere inversiones continuas y un enfoque proactivo, especialmente en entornos de misión crítica. Las empresas deben priorizar la actualización de sus sistemas y reforzar la seguridad perimetral de los dispositivos de gestión remota.

(Fuente: www.securityweek.com)