Możliwość zdalnego zarządzania i monitorowania serwerów nawet wtedy, gdy ich główny system operacyjny przestanie reagować, ma kluczowe znaczenie dla administratorów IT w przedsiębiorstwach. Wszyscy producenci serwerów zapewniają taką funkcjonalność w oprogramowaniu układowym za pośrednictwem zestawu układów, które działają niezależnie od reszty serwera i systemu operacyjnego. Są one znane jako kontrolery zarządzania płytą bazową (BMC) i jeśli nie są odpowiednio zabezpieczone, mogą otworzyć drzwi dla bardzo uporczywych i trudnych do wykrycia rootkitów.

Przez lata badacze bezpieczeństwa znajdowali i demonstrowali luki w implementacjach BMC różnych producentów serwerów, a napastnicy wykorzystywali niektóre z nich. Jednym z ostatnich przykładów jest iLOBleed, złośliwy implant BMC znaleziony w środowisku naturalnym przez irańską firmę zajmującą się bezpieczeństwem cybernetycznym, który atakuje serwery Hewlett Packard Enterprise (HPE) Gen8 i Gen9, ale nie jest to jedyny taki atak wykryty w ostatnich latach.

Zobacz również:

• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie

Według analizy przeprowadzonej przez firmę Eclypsium, 7,799 BMC serwerów HPE iLO (HPE’s Integrated Lights-Out) jest wystawionych na działanie internetu i większość z nich nie wydaje się być wyposażona w najnowszą wersję firmware. Kiedy w 2019 roku znaleziono inne podatności w implementacji BMC serwerów Supermicro, ponad 47 000 publicznie ujawnionych BMC Supermicro z ponad 90 różnych krajów zostało narażonych na atak. Można śmiało powiedzieć, że w przypadku wszystkich producentów serwerów liczba interfejsów BMC, które można zaatakować z internetu, mieści się w dziesiątkach lub setkach tysięcy. „Luki w BMC są również niezwykle powszechne i często pomijane, jeśli chodzi o aktualizacje” - stwierdzili badacze Eclypsium w nowym wpisie na blogu, który powstał po opublikowaniu raportów iLOBleed. „Podatności i błędne konfiguracje mogą być wprowadzane na wczesnym etapie łańcucha dostaw, zanim organizacja w ogóle przejmie serwer na własność. Problemy w łańcuchu dostaw mogą istnieć nawet po wdrożeniu systemu z powodu podatnych na ataki aktualizacji lub jeśli przeciwnicy są w stanie naruszyć proces aktualizacji dostawcy. Ostatecznie, tworzy to wyzwanie dla przedsiębiorstw, w których istnieje wiele podatnych systemów, bardzo duże skutki w przypadku ataku i przeciwnicy aktywnie wykorzystujący urządzenia w środowisku naturalnym”.

Implant iLOBleed

Technologia iLO firmy HPE jest obecna w serwerach HPE od ponad 15 lat. Jest ona zaimplementowana jako układ ARM, który ma własny dedykowany kontroler sieciowy, pamięć RAM i pamięć flash. Jego firmware zawiera dedykowany system operacyjny, który działa niezależnie od głównego systemu operacyjnego serwera. Podobnie jak wszystkie BMC, HPE iLO jest w istocie małym komputerem zaprojektowanym do kontrolowania większego komputera - samego serwera. Administratorzy mogą uzyskać dostęp do iLO za pośrednictwem panelu administracyjnego opartego na przeglądarce internetowej, który jest obsługiwany przez dedykowany port sieciowy BMC, lub za pomocą narzędzi, które komunikują się z BMC za pośrednictwem standardowego protokołu Intelligent Platform Management Interface (IPMI). Administratorzy mogą używać iLO do włączania i wyłączania serwera, modyfikowania różnych ustawień sprzętu i firmware’u, uzyskiwania dostępu do konsoli systemowej, reinstalacji głównego systemu operacyjnego poprzez zdalne dołączenie obrazu CD/DVD, monitorowania czujników sprzętu i oprogramowania, a nawet wdrażania aktualizacji BIOS/UEFI.

Podejrzewa się, że implant iLOBleed jest dziełem grupy APT (advanced persistent threat) i jest wykorzystywany od co najmniej 2020 roku. Uważa się, że wykorzystuje on znane luki, takie jak CVE-2018-7078 i CVE-2018-7113, aby wstrzyknąć nowe złośliwe moduły do oprogramowania układowego iLO, które dodają funkcjonalność wymazywania dysku.

Po zainstalowaniu rootkit blokuje również próby aktualizacji firmware’u i zgłasza, że nowsza wersja została zainstalowana pomyślnie, aby oszukać administratorów. Istnieją jednak sposoby, aby stwierdzić, że firmware nie został zaktualizowany. Na przykład, ekran logowania w najnowszej dostępnej wersji powinien wyglądać nieco inaczej. Jeśli tak nie jest, oznacza to, że aktualizacja została uniemożliwiona, nawet jeśli firmware zgłasza najnowszą wersję.

Warto również zauważyć, że zainfekowanie firmware’u iLO jest możliwe, jeśli atakujący uzyska uprawnienia root (administratora) do systemu operacyjnego hosta, ponieważ umożliwia to flashowanie firmware’u. Jeśli firmware iLO serwera nie ma znanych luk, możliwe jest obniżenie firmware’u do wersji podatnej na ataki. W Gen10 możliwe jest zapobieganie atakom typu downgrade poprzez włączenie ustawienia firmware’u, ale nie jest to domyślnie włączone i nie jest możliwe w starszych generacjach. „Atakujący mogą wykorzystać te możliwości [BMC] na różne sposoby" - stwierdzili specjaliści z Eclypsium. „iLOBleed zademonstrował możliwość wykorzystania BMC do wymazania dysków serwera. Atakujący może równie dobrze wykradać dane, instalować dodatkowe payloadery, kontrolować serwer w dowolny sposób lub całkowicie go wyłączyć. Ważne jest również, aby zauważyć, że kompromitacja fizycznych serwerów może zagrozić nie tylko obciążeniom, ale całym chmurom”.

Ataki BMC w przeszłości

W 2016 r. badacze z Microsoftu udokumentowali działalność grupy APT o nazwie PLATINUM, która wykorzystała technologię Active Management Technology (AMT) firmy Intel Serial-over-LAN (SOL) do utworzenia ukrytego kanału komunikacyjnego w celu przesyłania plików. AMT jest składnikiem Intel Management Engine (Intel ME), rozwiązania podobnego do BMC, które istnieje w większości procesorów Intela dla komputerów stacjonarnych i serwerów. Większość zapór ogniowych i narzędzi do monitorowania sieci nie jest skonfigurowana do inspekcji AMT SOL lub ruchu IPMI w ogóle, co pozwala atakującym takim jak PLATINUM uniknąć wykrycia. W 2018 roku BleepingComputer poinformował o atakach na serwery Linux za pomocą programu ransomware o nazwie JungleSec, który, w oparciu o doniesienia ofiar, został wdrożony za pośrednictwem niezabezpieczonych interfejsów IPMI przy użyciu domyślnych poświadczeń producenta. W 2020 r. badacz bezpieczeństwa pokazał, jak mógł wykorzystać niezabezpieczone interfejsy BMC w chmurze Openstack w organizacji, aby przejąć zwirtualizowane serwery podczas testów penetracyjnych. „iLOBleed stanowi niezwykle wyraźne studium przypadku nie tylko dla znaczenia bezpieczeństwa firmware’u w BMC, ale dla bezpieczeństwa firmware’u w ogóle” - powiedzieli specjaliści z Eclypsium. „Wiele organizacji przyjęło dziś koncepcje takie jak zero zaufania, które definiują potrzebę niezależnej oceny i weryfikacji bezpieczeństwa każdego zasobu i działania. Jednak w większości przypadków, idee te nie przedostały się do najbardziej fundamentalnego kodu urządzenia”.

Opanowywanie ataków BMC

Standardową praktyką bezpieczeństwa dla interfejsów IPMI, czy to wbudowanych, czy dodanych poprzez karty rozszerzeń, jest nie wystawianie ich bezpośrednio na działanie Internetu, a nawet głównej sieci korporacyjnej. BMC powinny być umieszczone w swoim własnym, izolowanym segmencie sieci, przeznaczonym do celów zarządzania. Dostęp do tego segmentu może być ograniczony za pomocą sieci VLAN, firewalli, VPN i innych podobnych technologii bezpieczeństwa. Organizacje powinny okresowo sprawdzać u swoich producentów serwerów aktualizacje firmware’u BMC i bardziej ogólnie śledzić CVE odkryte w firmwarze wszystkich swoich krytycznych zasobów. Brak śledzenia wersji firmware’u i skanowania podatności na ataki tworzy duże martwe pole w sieciach korporacyjnych, a niskopoziomowe rootkity, takie jak iLOBleed, mogą zapewnić atakującym bardzo trwałe i potężne oparcie wewnątrz środowisk. Jeśli firmware BMC oferuje opcję blokowania wdrażania starszych wersji firmware’u (downgrades) jak w przypadku serwerów HPE Gen10/iLO5, opcja ta powinna być włączona. Inne zabezpieczenia firmware’u, takie jak weryfikacja podpisu cyfrowego, również powinny być włączone. Domyślne poświadczenia administracyjne dla interfejsów BMC i paneli administracyjnych powinny zostać zmienione, a funkcje bezpieczeństwa, takie jak szyfrowanie ruchu i uwierzytelnianie, powinny być zawsze włączone. Wreszcie, wiele BMC posiada funkcje logowania, które pozwalają na monitorowanie i rejestrowanie zmian na serwerach poprzez specyfikacje takie jak Redfish i inne interfejsy XML. Dzienniki te powinny być okresowo kontrolowane w celu wykrycia wszelkich nieautoryzowanych zmian.

Źródło: CSO