CISA and NSA Publish BMC Hardening Guidelines
2023/06/15 InfoSecurity — 米国 の CISA (Cybersecurity and Infrastructure Security Agency) と NSA (National Security Agency) は、BMC (Baseboard Management Controller) のセキュリティ強化に関する共同指針を発表した。6月14日に発表された、この文書の目的は、重要なインフラ・システムの侵害を試みる脅威アクターにとって、潜在的な侵入経路となり得る BMC の、見落された脆弱性への対処である。
BMC は、コンピュータのハードウェアに組み込まれた、リモートで管理/制御するための重要なコンポーネントである。OS やファームウェアとは独立して動作するため、電源が落ちている状態でもシームレスな制御が保証される。その一方で、これらのデバイスは、高い特権レベルとネットワークへのアクセス性から、悪意の行為者にとって魅力的なターゲットになる。
この共同ガイダンスで指摘されているのは、多くの組織が最低限のセキュリティ対策さえ実施していないことであり、BMC を効果的に保護/維持するための事前対策の重要性が強調されている。このような脆弱性を介して BMC が悪用されることで、セキュリティ・ソリューションの停止/データの操作/ネットワーク・インフラへの悪意の指示の伝播などの、さまざまなサイバー攻撃の入口が生じる可能性がある。
これらの懸念に対処するために CISA と NSA は、BMC 認証情報の保護/VLAN 分離の実施/設定のハード化/BMC の定期的なアップデートの実施などの、いくつかの重要な対処を推奨している。さらに、ユーザー組織にとって必要なのは、BMC の完全性の監視/機密性の高いワークロードのハード化されたデバイスへの移行/ファームウェアの定期的なスキャン/未使用の BMC を潜在的なセキュリティ・リスクとして扱うなどの対処である。
これらの推奨事項に従うことで、ユーザー組織は BMC のセキュリティ態勢を大幅に強化し、潜在的なサイバー脅威のリスクを低減できる。詳細な情報および推奨事項については、CISA/NSA が発表した公式ガイダンス文書で確認できる。
先日には、英国 NCSC (National Cyber Security Centre) などの国際的なセキュリティ機関が、米国内の重要な国家インフラ・ネットワークを標的とする中国のサイバー活動について、新しいアドバイザリで警告していた。それから数週間後に、この新しいガイドラインが発表された。
BMC (Baseboard Management Controller) が、このブログに登場するのは初めてのことです。IPMI 規格に基づき、リモートからコンピュータを管理するための、制御用ICチップ/マザーボードなどに実装され、システムに対する操作を受け付けると、用語集には記されています。2022/03/08 の「Cloudflare の決断:ウクライナへの auto-brick サーバ提供とロシアでのビジネス継続」で使われていた、Brick の意味がよく分からなかったのですが、ZDNET で「Watch researchers remotely brick a server by corrupting its BMC and UEFI firmware」という記事が見つかりました。BMC/UEFI と Brick の関連性が見えてきました。
IoT OT Security News 
You must be logged in to post a comment.