米国 NSA CISA ベースボード管理コントローラ (BMC) を保護するためのガイドを公開

こんにちは、丸山満彦です。

NSAとCISAが共同で、ベースボード管理コントローラ (BMC) を保護するためのガイドを公開し、ちゃんとやれよ！と言っていますね。。。OSの下のLayerの話ですから、本当にここがやられると影響は大きいですよね。。。そして、やられたという検知も難しい。。。

推奨事項...

1. Protect BMC credentials	1. BMC の認証情報を保護する
2. Enforce VLAN separation	2. VLANの分離をする
3. Harden configurations	3. 構成を堅牢化する
4. Perform routine BMC update checks	4. BMC の定期的なアップデートを確認する
5. Monitor BMC integrity	5. BMCの完全性を監視する
6. Move sensitive workloads to hardened devices	6. 機密性の高いワークロードを堅牢化されたデバイスに移行する
7. Use firmware scanning tools periodically	7. ファームウェアスキャンツールを定期的に使用する
8. Do not ignore BMCs	8. BMC を無視しない

 

 

● NSA

・2023.06.14 NSA and CISA Release Guide To Protect Baseboard Management Controllers

NSA and CISA Release Guide To Protect Baseboard Management Controllers	NSAとCISAがベースボード管理コントローラを保護するためのガイドを公開
Baseboard management controllers (BMCs) are common components of server-class computers. Malicious cyber actors could use these controllers’ capabilities to compromise industry and government systems.	ベースボード管理コントローラ（BMC）は、サーバクラスのコンピュータの一般的なコンポーネントである。悪意のあるサイバーアクターは、これらのコントローラーの機能を利用して、産業や政府のシステムを侵害する可能性がある。
“Implementation of effective security defenses for these embedded controllers is frequently overlooked,” said Neal Ziring, the Technical Director for NSA’s Cybersecurity Directorate. “The firmware in these controllers is highly privileged. Malicious actors can use the firmware’s capabilities to remotely control a critical server while bypassing traditional security tools.”	NSAのサイバーセキュリティ部門テクニカルディレクターであるNeal Ziring氏は、次のように述べている。「これらの組み込みコントローラに対する効果的なセキュリティ防御の実装は、しばしば見落とされている。これらのコントローラのファームウェアは、非常に高い権限を有している。悪意のある行為者は、ファームウェアの機能を利用して、従来のセキュリティツールを回避しながら、重要なサーバーを遠隔操作することができる。」
Organizations need to take action to secure servers with BMCs. To assist network defenders in this, NSA and the Cybersecurity and Infrastructure Security Agency (CISA) jointly released the Cybersecurity Information Sheet, “Harden Baseboard Management Controllers.” The guidance includes recommendations and mitigations for network defenders to secure their systems.	組織は、BMCを搭載したサーバーの安全性を確保するために対策を講じる必要がある。ネットワーク防衛者を支援するために、NSAとサイバーセキュリティ・インフラセキュリティ庁（CISA）は共同で、サイバーセキュリティ情報シート "ベースボードマネジメントコントローラーの堅牢化" を発表した。 このガイダンスには、ネットワーク防衛者がシステムを保護するための推奨事項と緩和策が含まれている。
A BMC is an embedded component that runs independent of the server’s operating system (OS). Once powered up, a BMC’s capabilities persist even if the server is shut down.	BMCは、サーバーのオペレーティングシステム（OS）とは独立して動作する組み込みコンポーネントである。一度電源を入れると、サーバーがシャットダウンされてもBMCの機能は持続する。
BMCs are beneficial for system administrators as they provide remote access to servers’ resources for network configuration and management. In addition, BMC enterprise management solutions allow administrators to handle large numbers of servers remotely. Cyber actors can abuse these capabilities in a variety of ways, including to:	BMCは、ネットワーク構成と管理のために、サーバーのリソースへのリモートアクセスを提供するので、システム管理者にとって有益である。さらに、BMCエンタープライズ管理ソリューションにより、管理者は大量のサーバーをリモートで処理することができる。サイバーアクターは、これらの機能を以下のような様々な方法で悪用することができる：
・Disable security solutions, such as Trusted Platform Module (TPM) and Unified Extensible Firmware Interface (UEFI) Secure Boot.	・Trusted Platform Module (TPM) や Unified Extensible Firmware Interface (UEFI) Secure Boot などのセキュリティソリューションを無効化する。
・Manipulate data on any attached storage media.	・接続されたストレージメディア上のデータを操作する。
・Propagate implants or disruptive instructions across a network infrastructure.	・ネットワークインフラにインプラントや破壊的な命令を伝播させる。
NSA and CISA recommend system owners and network defenders implement the mitigations listed in the report, including:	NSAとCISAは、システム所有者とネットワーク防御者が、以下のような報告書に記載されている緩和策を実施することを推奨する：
・Hardening BMC credentials and configurations	・BMCの認証情報および構成を強化する。
・Monitoring BMC integrity and updating BMCs	・BMCの整合性を監視し、BMCを更新する。
・Establishing virtual network separation to isolate BMC network connections	・仮想ネットワーク分離を確立し、BMCネットワーク接続を分離する。

 

● CISA

・2023.06.14 

CISA and NSA Release Joint Guidance on Hardening Baseboard Management Controllers (BMCs)	CISAとNSA ベースボード管理コントローラ（BMC）の堅牢化に関する共同ガイダンスを発表
Today, CISA, together with the National Security Agency (NSA), released a Cybersecurity Information Sheet (CSI), highlighting threats to Baseboard Management Controller (BMC) implementations and detailing actions organizations can use to harden them.	本日、CISAは国家安全保障局（NSA）と共同でサイバーセキュリティ情報シート（CSI）を発表し、ベースボード管理コントローラ（BMC）の実装に対する脅威を強調し、組織がBMCを強化するために使用できるアクションを詳述している。
BMCs are trusted components designed into a computer's hardware that operate separately from the operating system (OS) and firmware to allow for remote management and control, even when the system is shut down. Hardened credentials, firmware updates, and network segmentation options are often overlooked, leading to a vulnerable BMC. A vulnerable BMC broadens the attack vector by providing malicious actors the opportunity to employ tactics such as establishing a beachhead with pre-boot execution potential.	BMCは、コンピュータのハードウェアに設計された信頼できるコンポーネントで、オペレーティングシステム（OS）やファームウェアとは別に動作し、システムがシャットダウンされている場合でも、リモート管理および制御が可能である。強固な認証情報、ファームウェアのアップデート、ネットワークのセグメンテーションオプションは、しばしば見落とされ、脆弱なBMCにつながる。脆弱なBMCは、悪意のある行為者に、起動前実行の可能性を持つビーチヘッドを確立するなどの戦術を採用する機会を与え、攻撃のベクトルを拡大する。
CISA and NSA encourage all organizations managing servers to apply the recommended actions in this CSI.	CISAとNSAは、サーバを管理するすべての組織に対し、本CSIの推奨措置を適用することを推奨する。

 

 

・[PDF]

 

Harden Baseboard Management Controllers	ベースボード管理コントローラの堅牢化
Summary	概要
Baseboard management controllers (BMCs) are trusted components designed into a computer’s hardware that operate separately from the operating system and firmware to allow for remote management and control, even when the system is shut down. This Cybersecurity Information Sheet (CSI), authored by the National Security Agency (NSA) and the Cybersecurity and Infrastructure Security Agency (CISA), highlights threats to BMCs and details actions organizations can use to harden them. NSA and CISA encourage all organizations managing relevant servers to apply the recommended actions in this CSI.	ベースボード管理コントローラ（BMC）は、コンピュータのハードウェアに設計された信頼できるコンポーネントで、オペレーティングシステムやファームウェアとは別に動作し、システムが停止しているときでもリモートで管理・制御できるようにする。国家安全保障局（NSA）とサイバーセキュリティ・インフラセキュリティ庁（CISA）が作成したこのサイバーセキュリティ情報シート（CSI）は、BMCに対する脅威を明らかにし、組織がBMCを強化するために使用できるアクションを詳述している。NSAとCISAは、関連するサーバーを管理するすべての組織が、このCSIで推奨されるアクションを適用することを推奨する。
Malicious actors target overlooked firmware	悪意ある行為者は、見落とされたファームウェアを狙う
A BMC differs from the basic input output system (BIOS) and the Unified Extensible Firmware Interface (UEFI), which have a later role in booting a computer, and management engine (ME), which has different remote management functionality. BMC firmware is highly privileged, executes outside the scope of operating system (OS) controls, and has access to all resources of the server-class platform on which it resides. It executes the moment power is applied to the server. Therefore, boot to a hypervisor or OS is not necessary as the BMC functions even if the server is shutdown.	BMCは、コンピュータの起動に後発の役割を持つBIOS（Basic Input Output System）やUEFI（Unified Extensible Firmware Interface）、リモート管理機能が異なる管理エンジン（ME）とは異なる。BMCファームウェアは、オペレーティングシステム（OS）の制御範囲外で実行され、それが存在するサーバークラスのプラットフォームのすべてのリソースにアクセスできる、非常に特権的なものである。サーバーに電源が投入された瞬間に実行される。そのため、サーバーがシャットダウンしてもBMCは機能するため、ハイパーバイザーやOSへのブートは必要ない。
Most BMCs provide network-accessible configuration and management, and BMC management solutions administer large numbers of servers without requiring a physical touch. They take the form of a dedicated circuit chip with discrete firmware that must be maintained separately from automated or OS-hosted patching solutions. Most BMCs do not provide integration with user account management solutions. Administrators must perform updates and all administrative actions affecting BMCs via commands delivered over network connections.	ほとんどのBMCは、ネットワークからアクセス可能な構成と管理を提供し、BMC管理ソリューションは、物理的な接触を必要とせずに大量のサーバーを管理する。BMCは、自動化された、またはOSがホストするパッチソリューションとは別に維持されなければならない、個別のファームウェアを持つ専用の回路チップの形をとっている。ほとんどのBMCは、ユーザーアカウント管理ソリューションとの統合を提供しない。管理者は、ネットワーク接続を介して配信されるコマンドを使用して、BMCに影響を与えるアップデートおよびすべての管理アクションを実行する必要がある。
Many organizations fail to take the minimum action to secure and maintain BMCs. Hardened credentials, firmware updates, and network segmentation options are frequently overlooked, leading to a vulnerable BMC. A vulnerable BMC broadens the attack vector by providing malicious actors the opportunity to employ tactics such as establishing a beachhead with preboot execution potential. [1] Additionally, a malicious actor could disable security solutions such as the trusted platform module (TPM) or UEFI secure boot, manipulate data on any attached storage media, or propagate implants or disruptive instructions across a network infrastructure. Traditional tools and security features including endpoint detection and response (EDR) software, intrusion detection/prevention systems (IDS/IPS), anti-malware suites, kernel security enhancements, virtualization capabilities, and TPM attestation are ineffective at mitigating a compromised BMC. For these reasons, NSA and CISA recommend organizations pay attention to the security of their BMCs and apply the hardening actions detailed in the following section.	多くの組織が、BMCを保護し維持するための最低限の行動をとらない。強固な認証情報、ファームウェアのアップデート、およびネットワークのセグメンテーション・オプションは、頻繁に見落とされ、脆弱なBMCにつながる。脆弱なBMCは、悪意のある行為者に、プリブート実行の可能性を持つビーチヘッドを確立するなどの戦術を採用する機会を提供し、攻撃のベクトルを拡大させる。さらに、悪意のある行為者は、TPM（Trusted Platform Module）やUEFIセキュアブートなどのセキュリティソリューションを無効にしたり、接続されたストレージメディア上のデータを操作したり、ネットワークインフラ全体にインプラントや破壊的命令を伝搬させたりする可能性がある[1]。エンドポイント検出応答（EDR）ソフトウェア、侵入検出/防止システム（IDS/IPS）、マルウェア対策スイート、カーネルセキュリティ強化、仮想化機能、TPM認証などの従来のツールやセキュリティ機能は、侵害されたBMCを軽減する上で効果がない。これらの理由から、NSA と CISA は、組織が BMC のセキュリティに注意を払い、次のセクションで詳述するハードニングアクションを適用することを推奨する。
Recommended actions	推奨されるアクション
These recommended actions align with the cross-sector cybersecurity performance goals	これらの推奨行動は、セクター横断的なサイバーセキュリティ性能目標（CPG）に合致している。
(CPGs) CISA and the National Institute of Standards and Technology (NIST) developed. The CPGs provide a minimum set of practices and protections that CISA and NIST recommend all organizations implement. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including additional recommended baseline protections.	(CISAと米国国立標準技術研究所（NIST）が策定した（CPGs）。CPGは、CISAとNISTがすべての組織に実施を推奨する実践と保護の最低セットを提供する。推奨されるベースライン保護の追加など、CPG の詳細については、CISA の Cross-Sector Cybersecurity Performance Goals を参照されたい。
1. Protect BMC credentials	1. BMC の認証情報を保護する
Change the default BMC credentials as soon as possible. Establish unique user accounts for administrators, if supported. Always use strong passwords compliant with NIST guidelines such as SP 800-63B. [2] Do not expose default credentials to an internet connection or untrusted segment of an enclave [CPG 2.A, 2.B, 2.C, 2.E, 2.L].	デフォルトのBMC認証情報をできるだけ早く変更する。サポートされている場合は、管理者用の固有のユーザーアカウントを確立する。SP 800-63B などの NIST ガイドラインに準拠した強力なパスワードを常に使用する。[2] デフォルトの認証情報をインターネット接続やエンクレーブの信頼されていないセグメントに公開しない [CPG 2.A, 2.B, 2.C, 2.E, 2.L].
2. Enforce VLAN separation	2. VLANの分離をする
Establish a virtual local area network (VLAN) to isolate BMC network connections since many BMC products have a dedicated network port not shared with the OS or virtual machine manager (VMM). Limit the endpoints that may communicate with BMCs in the enterprise infrastructure—commonly referred to as an Administrative VLAN. Limit or block BMC access to the internet. If the BMC requires internet access to update, create rules such that only updatesupporting traffic is permitted during the update download [CPG 2.F, 2.X].	多くのBMC製品は、OSや仮想マシンマネージャ（VMM）と共有しない専用のネットワークポートを持つため、仮想ローカルエリアネットワーク（VLAN）を確立してBMCのネットワーク接続を分離する。エンタープライズ・インフラストラクチャでBMCと通信できるエンドポイントを制限する。BMCのインターネットへのアクセスを制限またはブロックする。BMCが更新のためにインターネットアクセスを必要とする場合、更新のダウンロード中に更新をサポートするトラフィックのみが許可されるようなルールを作成する［CPG 2.F, 2.X］。
3. Harden configurations	3. 構成を堅牢化する
Consult vendor guides and recommendations for hardening BMCs against unauthorized access and persistent threats. UEFI hardening configuration guidance may apply to many BMC settings [CPG 1.E, 2.V, 2.W, 2.X]. [3]	不正アクセスや持続的な脅威に対してBMCを強化するためのベンダーのガイドと推奨事項を参照すること。UEFIハードニング構成のガイダンスは、多くのBMC設定に適用される可能性がある[CPG 1.E, 2.V, 2.W, 2.X]. [3]
4. Perform routine BMC update checks	4. BMC の定期的なアップデートを確認する
BMC updates are delivered separately from most other software and firmware updates. Establish a routine to conduct monthly or quarterly checks for BMC updates according to the system vendor’s recommendations and scheduled patch releases. Combine BMC update installations with routine server maintenance and scheduled downtime when possible. Note that some servers require a restart after BMC updates, while some can restart the BMC independent of the OS or VMM. BMC updates may be provided via the internet, a local executable, an image stored on removable media, or network file storage [CPG 1.E].	BMCのアップデートは、他のほとんどのソフトウェアやファームウェアのアップデートとは別に配信される。システムベンダーの推奨事項や予定されているパッチリリースに従って、毎月または四半期ごとにBMCアップデートのチェックを実施するルーチンを確立する。BMCアップデートのインストールは、可能な限り、定期的なサーバーメンテナンスおよびスケジュールされたダウンタイムと組み合わせる。BMCのアップデート後に再起動が必要なサーバーもあれば、OSやVMMとは無関係にBMCを再起動できるサーバーもあることに留意する。BMCの更新は、インターネット、ローカル実行ファイル、リムーバブルメディアに保存されたイメージ、またはネットワークファイルストレージを介して提供される場合がある[CPG 1.E]。
Remember: OS patch maintenance solutions do not deliver BMC updates.	覚えておくこと： OS のパッチ保守ソリューションは、BMC の更新を提供しない。
5. Monitor BMC integrity	5. BMCの完全性を監視する
Some BMCs report integrity data to a root of trust (RoT). The RoT could take the form of a TPM, dedicated security chip or coprocessor (multiple trademarked names in use), or a central processing unit (CPU) secure memory enclave. Monitor integrity features for unexpected changes and platform alerts [CPG 2.T].	一部のBMCは、信頼できるルート（RoT）に整合性データを報告する。RoTは、TPM、専用セキュリティチップまたはコプロセッサ（使用中の複数の商標名）、または中央処理装置（CPU）の安全なメモリエンクレーブの形を取ることができる。予期せぬ変更やプラットフォームのアラートに対して、整合性機能を監視する [CPG 2.T]。
6. Move sensitive workloads to hardened devices	6. 機密性の高いワークロードを堅牢化化されたデバイスに移行する
Older server and cloud nodes may lack any BMC integrity monitoring mechanism. The presence of a TPM does not guarantee that BMC integrity data is collected. Place sensitive workloads on hardware designed to audit both the BMC firmware and the platform firmware [CPG 2.L].	古いサーバーやクラウドノードには、BMCの完全性監視メカニズムがない場合がある。TPMの存在は、BMCの整合性データが収集されることを保証するものではありません。BMC ファームウェアとプラットフォームファームウェアの両方を監査するように設計されたハードウェ アに、機密性の高いワークロードを配置する [CPG 2.L]。
7. Use firmware scanning tools periodically	7. ファームウェアスキャンツールを定期的に使用する
Some modern EDR and platform scanning tools support BMC firmware capture. Establish a schedule to collect and inspect BMC firmware for integrity and unexpected changes. Include firmware audits in comprehensive anti-malware scanning tasks.	最近の EDR およびプラットフォーム・スキャン・ツールの中には、BMC ファームウェアのキャプチャをサポー トするものがある。BMC ファームウェアを収集し、完全性や予期せぬ変更について検査するスケジュールを確立する。包括的なマルウェア対策スキャンタスクにファームウェア監査を含めること。
8. Do not ignore BMCs	8. BMC を無視しない
A user may accidentally connect and expose an ignored and disconnected BMC to malicious content. Treat an unused BMC as if it may one day be activated. Apply patches. Harden credentials. Restrict network access. If a BMC cannot be disabled or removed, carry out recommended actions appropriate to the sensitivity of the platform’s data [CPG 1.E, 2.C, 2.F, 2.K, 2.W, 2.X].	ユーザーが誤って接続し、無視されて切断されたBMCを悪意のあるコンテンツにさらす可能性がある。未使用のBMCは、いつか起動する可能性があるものとして扱うこと。パッチを適用する。認証情報を強固にする。ネットワークアクセスを制限する。BMC を無効化または削除できない場合は、プラットフォームのデータの機密性に適した推奨されるアクションを実行する [CPG 1.E, 2.C, 2.F, 2.K, 2.W, 2.X].

 

引用文献...

1. Eclypsium Inc. (2022), “The iLOBleed Implant: Lights Out Management Like You Wouldn’t Believe.” https://eclypsium.com/2022/01/12/the-ilobleed-implant-lights-out-management-like-youwouldnt-believe
   
   
2. National Institute of Standards and Technology (NIST) (2020), Special Publication 800-63B“Digital Identity Guidelines: Authentication and Lifecycle Management.” https://pages.nist.gov/800-63-3/sp800-63b.html 
   
   
3. National Security Agency (NSA) (2018), “UEFI Defensive Practices Guidance.” https://www.nsa.gov/portals/75/documents/what-we-do/cybersecurity/professional-resources/ctruefi-defensive-practices-guidance.pdf
   
   

 

・[PDF] Cross-Sector Cybersecurity Performance Goals

 

---

 

CPGについてはこちら...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.30 米国 CISA サイバーセキュリティ・パフォーマンス目標 (CPGs) の更新版を発表 (2023.03.21)

・2022.11.03 米国 国土安全保障省 (DHS) 重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標 (2022.10.27)