黑客可將固件后門植入到裸機云服務(wù)器上并發(fā)動勒索軟件攻擊

2019-02-28 09:28:03來源：云頭條

固件安全公司Eclypsium周二發(fā)布警告，惡意攻擊者可能會將固件后門植入到裸機云服務(wù)器上，并利用后門來破壞應(yīng)用程序、竊取數(shù)據(jù)并發(fā)動勒索軟件攻擊。

裸機云服務(wù)為企業(yè)組織提供了運行應(yīng)用程序所需要的硬件，無需提供虛擬機管理程序。與其他類型的云服務(wù)(服務(wù)器可能有多個租戶)的情況不同，裸機服務(wù)提供對整臺物理服務(wù)器的獨占式訪問。一旦客戶不再需要該服務(wù)器，硬件就重新分配給另一個客戶。

Eclypsium的研究人員發(fā)現(xiàn)，黑客可以將固件后門植入到這些服務(wù)器上，然后利用后門對該設(shè)備的下一個客戶發(fā)動攻擊。這種攻擊方法就是所謂的“Cloudborne”。

Eclypsium認為這個問題影響許多裸機服務(wù)提供商，不過它對IBM的SoftLayer云服務(wù)進行了測試，“因為IBM簡化了實際操作和硬件訪問。”

對這些服務(wù)器進行分析后發(fā)現(xiàn)，其中一些服務(wù)器使用SuperMicro提供的硬件。

Eclypsium之前已經(jīng)發(fā)現(xiàn)了SuperMicro產(chǎn)品中的安全漏洞，尤其是與底板管理控制器(BMC)有關(guān)的漏洞。

BMC是大多數(shù)服務(wù)器主板上的小型計算機。其智能平臺管理接口(IPMI)組件讓管理員可以遠程控制和監(jiān)測服務(wù)器，無需訪問操作系統(tǒng)或在操作系統(tǒng)上運行的應(yīng)用程序。BMC可用于重啟設(shè)備、安裝操作系統(tǒng)、更新固件、監(jiān)測系統(tǒng)參數(shù)以及分析日志。

Eclypsium已表明，攻擊者可以將惡意代碼加載到BMC上，以獲得對系統(tǒng)的持續(xù)訪問和控制，甚至可以遠程讓服務(wù)器成為廢磚。

研究人員購置了一臺服務(wù)器，并對其BMC固件進行了細小的良性改動，開始分析IBM SoftLayer服務(wù)。Eclypsium特別指出，它做的改動――更改了配置文件(bitflip)中的一個字符，并添加了擁有管理員權(quán)限的新IPMI用戶――并不涉及鉆任何安全漏洞的空子，而是任何客戶都可能會進行的改動。

然后專家將服務(wù)器發(fā)回給IBM，并使用一個不同的帳戶購置同一臺設(shè)備。他們注意到，雖然這家供應(yīng)商在回收后已刪除了IPMI用戶，但含有翻轉(zhuǎn)位(flipped bit)的固件并未發(fā)生變化。他們還注意到，BMC日志仍在那里，而且BMC root密碼一樣。

Eclypsium的研究人員說：“使用易受攻擊的硬件，再加上不重新刷新固件，惡意攻擊者就有可能植入服務(wù)器的BMC代碼，大搞破壞，或者從以后使用該服務(wù)器的IBM客戶竊取數(shù)據(jù)。”

他們補充道：“如果不刪除日志，新客戶就可以深入了解設(shè)備的上一個用戶的操作和行為，而知道BMC root密碼讓攻擊者能夠在將來更輕松地控制機器。”

據(jù)這家安全公司聲稱，攻擊者可能會改動BMC固件，從而發(fā)動持久性的拒絕服務(wù)(DoS)攻擊，使服務(wù)器如同廢磚。他們還可能植入后門，因而得以訪問下一個客戶存儲在設(shè)備上的數(shù)據(jù)。

Eclypsium解釋：“此外，針對驅(qū)動器和網(wǎng)絡(luò)適配器上的固件的攻擊本身可以為攻擊者提供另一種很低層的竊取或攔截數(shù)據(jù)的方法。同樣，如果對服務(wù)器和網(wǎng)絡(luò)適配器擁有低層控制，攻擊者就有了各種方法將數(shù)據(jù)從云環(huán)境泄露出去。”

這種攻擊方法還可用于發(fā)動勒索軟件攻擊，攻擊者可能威嚇會擾亂應(yīng)用程序和破壞數(shù)據(jù)。

Eclypsium向IBM通報了研究結(jié)果，但起初這家科技巨頭似乎忽略了它傳達的訊息。然而針對Eclypsium的研究，IBM一直在努力解決這個問題，盡管它沒有向這家安全公司給予任何反饋。

IBM發(fā)言人告訴IT安全外媒SecurityWeek：“我們沒有聽說任何客戶或IBM的數(shù)據(jù)因這個報告的潛在漏洞而面臨風險，我們已采取了措施以堵住漏洞。鑒于我們采取的補救措施以及利用該漏洞所需要的難度，我們認為它對客戶造成的潛在影響很小。雖然該報告?zhèn)戎赜贗BM，但這其實是所有云服務(wù)提供商面臨的波及整個行業(yè)的潛在漏洞，我們感謝Eclypsium使這個問題引起業(yè)界的注意。”

IBM在周一發(fā)布的安全公告中表示，現(xiàn)在它迫使所有BMC用出廠固件重新刷新，然后再交給其他客戶。該公司表示，它還將刪除所有日志，為BMC固件重新生成所有密碼。

然而Eclypsium聲稱，他們在測試中針對的那臺服務(wù)器在周一檢查時仍然含有固件改動。此外，該公司并不認同IBM的說法：這是一個“嚴重程度低”的問題，特別指出其CVSS評分是9.3，這屬于“嚴重程度高”的類別。

Eclypsium認為：“雖然與主機服務(wù)器相比，BMC硬件的硬件規(guī)格很低，但是造成重大安全影響的風險很高。按照設(shè)計，BMC旨在管理主機系統(tǒng);正因為如此，它比主機享有更大的權(quán)限。BMC可以持續(xù)訪問主機的文件、內(nèi)存(使用DMA)、鍵盤/顯示器和固件(這是必需的，因為它需要能夠重新安裝/重新配置)。此外，BMC能夠?qū)?shù)據(jù)發(fā)送到外部網(wǎng)絡(luò)，甚至可能重新配置主機網(wǎng)絡(luò)接口。這為攻擊者提供了偷偷全面控制受害者系統(tǒng)所需要的全部工具。”

標簽：黑客固件裸機云服務(wù)器軟件