Възможността за отдалечено управление и наблюдение на сървъри, дори когато основната им операционна система престане да реагира, е от жизненоважно значение за корпоративните ИТ администратори. Всички производители на сървъри предоставят тази функционалност във фърмуера чрез набор от чипове, които работят независимо от останалата част от сървъра и операционната система. Те са известни като контролери за управление на основната платка (BMC) и ако не са защитени правилно, те могат да отворят вратата към силно устойчиви и трудни за откриване руткитове.
През годините изследователите по сигурността са открили и демонстрирали уязвимости в реализациите на BMC на различни производители на сървъри и нападателите са се възползвали от някои от тях. Един скорошен пример е iLOBleed, злонамерен BMC имплант, открит в природата от иранска компания за киберсигурност, който е насочен към сървърите на Hewlett Packard Enterprise (HPE) Gen8 и Gen9, но това не е единствената подобна атака, открита през годините.
Според анализ на фирмата за сигурност на фърмуера Eclypsium, 7799 HPE iLO (HPE's Integrated Lights-Out) сървърни BMC са изложени на интернет и повечето не изглежда да работят с най-новата версия на фърмуера. Когато бяха открити други уязвимости в внедряването на BMC на сървъри Supermicro през 2019 г., повече от 47 000 публично изложени Supermicro BMC от над 90 различни страни бяха изложени. Безопасно е да се каже, че при всички доставчици на сървъри броят на BMC интерфейсите, които могат да бъдат атакувани от интернет, е в десетки или стотици хиляди.
„Уязвимостите на BMC също са невероятно често срещани и често се пренебрегват, когато става въпрос за актуализации“, казаха изследователите на Eclypsium в нова публикация в блога след докладите на iLOBleed. „Уязвимости и неправилни конфигурации могат да бъдат въведени рано във веригата за доставки, преди дадена организация да поеме собственост върху сървър. Проблеми с веригата за доставки могат да съществуват дори след внедряването поради уязвими актуализации или ако противниците са в състояние да компрометират процеса на актуализация на доставчика. В крайна сметка това създава предизвикателство за предприятия, в които има много уязвими системи, много големи въздействия в случай на атака и противници, които активно експлоатират устройствата в природата."
Имплантът iLOBleed
Технологията iLO на HPE съществува в сървърите на HPE повече от 15 години. Той е реализиран като ARM чип, който има собствен специален мрежов контролер, RAM и флаш памет. Неговият фърмуер включва специална операционна система, която работи независимо от основната операционна система на сървъра. Както всички BMC, HPE iLO е по същество малък компютър, предназначен да контролира по-голям компютър - самия сървър.
Администраторите могат да получат достъп до iLO чрез уеб-базиран административен панел, който се обслужва през специалния мрежов порт на BMC или чрез инструменти, които комуникират с BMC през стандартизирания протокол за интелигентен интерфейс за управление на платформа (IPMI). Администраторите могат да използват iLO, за да включват и изключват сървъра, да настройват различни хардуерни и фърмуерни настройки, да имат достъп до системната конзола, да преинсталират основната операционна система чрез дистанционно прикачване на CD/DVD изображение, да наблюдават хардуерни и софтуерни сензори и дори да внедряват актуализации на BIOS/UEFI .
Предполага се, че имплантът iLOBleed е създаване на група за напреднали постоянни заплахи (APT) и се използва поне от 2020 г. Смята се, че използва известни уязвимости като CVE-2018-7078 и CVE-2018-7113, за да инжектира нови злонамерени модули във фърмуера на iLO, които добавят функционалност за изтриване на диска.
Веднъж инсталиран, руткитът също така блокира опитите за надграждане на фърмуера и съобщава, че по-новата версия е инсталирана успешно, за да подведе администраторите. Въпреки това има начини да разберете, че фърмуерът не е надстроен. Например, екранът за влизане в най-новата налична версия трябва да изглежда малко по-различно. Ако не, това означава, че актуализацията е била предотвратена, дори ако фърмуерът съобщава най-новата версия.
Също така си струва да се отбележи, че заразяването на фърмуера на iLO е възможно, ако атакуващият получи root (администратор) привилегии на хост операционната система, тъй като това позволява флашване на фърмуера. Ако фърмуерът на iLO на сървъра няма известни уязвимости, възможно е да понижите фърмуера до уязвима версия. На Gen10 е възможно да се предотвратят атаки за понижаване чрез активиране на настройка на фърмуера, но това не е включено по подразбиране и не е възможно при по-стари поколения.
„Нападателите могат да злоупотребят с тези [BMC] възможности по различни начини“, казаха изследователите на Eclypsium. „iLOBleed демонстрира способността да използва BMC за изтриване на дисковете на сървър. Нападателят може също толкова лесно да открадне данни, да инсталира допълнителни полезни натоварвания, да контролира сървъра по какъвто и да е начин или да го дезактивира изцяло. Също така е важно да се отбележи, че компрометирането на физически сървъри може да изложи на риск не само работните натоварвания, но и цели облаци."
Минали атаки на BMC
През 2016 г. изследователи от Microsoft документираха дейностите на APT група, наречена PLATINUM, която използва технологията за активно управление (AMT) на Intel Serial-over-LAN (SOL), за да създаде скрит комуникационен канал за прехвърляне на файлове. AMT е компонент на Intel Management Engine (Intel ME), подобно на BMC решение, което съществува в повечето настолни и сървърни процесори на Intel. Повечето защитни стени и инструменти за наблюдение на мрежата не са конфигурирани да проверяват трафика на AMT SOL или IPMI като цяло, което позволява на нападатели като PLATINUM да избегнат откриването.
През 2018 г. BleepingComputer съобщи за атаки срещу сървъри на Linux с програма за рансъмуер, наречена JungleSec, която, въз основа на доклади от жертви, е внедрена чрез несигурни IPMI интерфейси, използвайки идентификационни данни на производителя по подразбиране.
През 2020 г. изследовател по сигурността показа как може да използва несигурни BMC интерфейси в облака Openstack на организация, за да поеме виртуализирани сървъри по време на ангажимент за тестване за проникване.
„iLOBleed предоставя невероятно ясно казус не само относно важността на сигурността на фърмуера в BMC, но и за сигурността на фърмуера като цяло“, казаха изследователите на Eclypsium. „Много организации днес са възприели концепции като нулево доверие, което определя необходимостта от независима оценка и проверка на сигурността на всеки актив и действие. И все пак в повечето случаи тези идеи не са си проправили път към най-фундаменталния код на устройство ."
Смекчаване на BMC атаки
Стандартната практика за сигурност за IPMI интерфейсите, независимо дали са вградени или добавени чрез разширителни карти, е те да не се излагат директно на интернет или дори на основната корпоративна мрежа. BMC трябва да бъдат поставени в техен собствен изолиран мрежов сегмент, който е предназначен за целите на управлението. Достъпът до този сегмент може да бъде ограничен чрез използване на VLAN, защитни стени, VPN и други подобни технологии за сигурност.
Организациите трябва периодично да проверяват със своите производители на сървъри за актуализации на фърмуера на BMC и по-общо да проследяват CVE, открити във фърмуера на всички техни критични активи. Липсата на проследяване на версията на фърмуера и сканиране за уязвимости създава голямо сляпо петно в корпоративните мрежи и руткитове на ниско ниво като iLOBleed могат да осигурят на нападателите изключително устойчива и мощна опора в среди.
Ако фърмуерът на BMC предлага опция за блокиране на внедряването на по-стари версии на фърмуера -- понижаване -- като в случая на сървъри HPE Gen10/iLO5, тази опция трябва да бъде включена. Други функции за сигурност на фърмуера, като проверка на цифровия подпис, също трябва да бъдат активирани.
Административните идентификационни данни по подразбиране за BMC интерфейси и административни панели трябва да бъдат променени и функциите за сигурност като криптиране на трафика и удостоверяване трябва винаги да са активирани.
И накрая, много BMC имат възможности за регистриране, които позволяват промените в сървърите да бъдат наблюдавани и записвани чрез спецификации като Redfish и други XML интерфейси. Тези регистрационни файлове трябва периодично да се проверяват, за да се открият всякакви неразрешени промени.