Schopnost vzdáleně spravovat a monitorovat servery, i když jejich hlavní operační systém přestane reagovat, je pro podnikové správce IT zásadní. Všichni výrobci serverů poskytují tuto funkci ve firmwaru prostřednictvím sady čipů, které běží nezávisle na zbytku serveru a OS. Tyto jsou známé jako řadiče správy základní desky (BMC) a pokud nejsou správně zabezpečeny, mohou otevřít dveře vysoce perzistentním a těžko odhalitelným rootkitům.
V průběhu let bezpečnostní výzkumníci našli a prokázali zranitelnosti v implementacích BMC různých výrobců serverů a útočníci některé z nich využili. Jedním z nedávných příkladů je iLOBleed, škodlivý implantát BMC nalezený ve volné přírodě íránskou společností zabývající se kybernetickou bezpečností, která se zaměřuje na servery Hewlett Packard Enterprise (HPE) Gen8 a Gen9, ale není to jediný takový útok nalezený v průběhu let.
Podle analýzy firmy Eclypsium pro zabezpečení firmwaru je 7 799 serverů BMC HPE iLO (HPE's Integrated Lights-Out) vystaveno internetu a zdá se, že většina z nich nepoužívá nejnovější verzi firmwaru. Když byly v roce 2019 nalezeny další zranitelnosti v implementaci BMC serverů Supermicro, bylo odhaleno více než 47 000 veřejně vystavených Supermicro BMC z více než 90 různých zemí. Dá se s jistotou říci, že u všech prodejců serverů se počet BMC rozhraní, která mohou být napadena z internetu, pohybuje v desítkách nebo stovkách tisíc.
"Zranitelnosti BMC jsou také neuvěřitelně běžné a často přehlížené, pokud jde o aktualizace," uvedli výzkumníci Eclypsia v novém příspěvku na blogu po zprávách iLOBleed. "Zranitelnosti a nesprávné konfigurace mohou být zavedeny brzy v dodavatelském řetězci předtím, než organizace vůbec převezme vlastnictví serveru. Problémy s dodavatelským řetězcem mohou stále existovat i po nasazení kvůli zranitelným aktualizacím nebo pokud jsou protivníci schopni ohrozit proces aktualizace dodavatele. V konečném důsledku to vytváří výzvu pro podniky, ve kterých existuje mnoho zranitelných systémů, velmi vysoké dopady v případě útoku a protivníci aktivně využívají zařízení ve volné přírodě."
Implantát iLOBleed
Technologie iLO společnosti HPE existuje na serverech HPE již více než 15 let. Je implementován jako čip ARM, který má vlastní vyhrazený síťový řadič, RAM a flash úložiště. Jeho firmware obsahuje vyhrazený operační systém, který běží nezávisle na hlavním operačním systému serveru. Stejně jako všechny BMC je i HPE iLO v podstatě malý počítač určený k ovládání většího počítače – samotného serveru.
Správci mohou přistupovat k iLO prostřednictvím webového administračního panelu, který je obsluhován prostřednictvím vyhrazeného síťového portu BMC, nebo pomocí nástrojů, které s BMC komunikují přes standardizovaný protokol Intelligent Platform Management Interface (IPMI). Správci mohou pomocí iLO zapínat a vypínat server, upravovat různá nastavení hardwaru a firmwaru, přistupovat k systémové konzole, přeinstalovat hlavní operační systém vzdáleným připojením obrazu CD/DVD, monitorovat hardwarové a softwarové senzory a dokonce nasazovat aktualizace systému BIOS/UEFI. .
Implantát iLOBleed je podezřelý z vytvoření skupiny pokročilé perzistentní hrozby (APT) a používá se minimálně od roku 2020. Předpokládá se, že využívá známé zranitelnosti, jako jsou CVE-2018-7078 a CVE-2018-7113, k vstřikování nových škodlivé moduly do firmwaru iLO, které přidávají funkci mazání disku.
Po instalaci rootkit také blokuje pokusy o upgrade firmwaru a hlásí, že novější verze byla úspěšně nainstalována, aby oklamal správce. Existují však způsoby, jak zjistit, že firmware nebyl aktualizován. Například přihlašovací obrazovka v poslední dostupné verzi by měla vypadat trochu jinak. Pokud tomu tak není, znamená to, že aktualizaci bylo zabráněno, i když firmware hlásí nejnovější verzi.
Za zmínku také stojí, že infikování firmwaru iLO je možné, pokud útočník získá oprávnění root (administrátor) k hostitelskému operačnímu systému, protože to umožňuje flashování firmwaru. Pokud firmware iLO serveru nemá žádné známé chyby zabezpečení, je možné provést downgrade firmwaru na zranitelnou verzi. Na Gen10 je možné zabránit útokům downgrade povolením nastavení firmwaru, ale to není ve výchozím nastavení zapnuto a není možné u starších generací.
"Útočníci mohou tyto schopnosti [BMC] zneužít různými způsoby," uvedli výzkumníci z Eclypsia. "iLOBleed prokázal schopnost používat BMC k vymazání disků serveru. Útočník by mohl stejně snadno ukrást data, nainstalovat další užitečné zatížení, ovládat server jakýmkoli způsobem nebo jej úplně deaktivovat. Je také důležité poznamenat, že kompromitace fyzických serverů může ohrozit nejen pracovní zátěž, ale celé cloudy."
Minulé útoky BMC
V roce 2016 výzkumníci z Microsoftu zdokumentovali aktivity skupiny APT s názvem PLATINUM, která používala technologii Intel Active Management Technology (AMT) Serial-over-LAN (SOL) k nastavení skrytého komunikačního kanálu pro přenos souborů. AMT je součást Intel Management Engine (Intel ME), řešení podobné BMC, které existuje ve většině procesorů Intel pro stolní počítače a servery. Většina firewallů a nástrojů pro monitorování sítě není nakonfigurována tak, aby kontrolovala provoz AMT SOL nebo IPMI obecně, což umožňuje útočníkům, jako je PLATINUM, uniknout detekci.
V roce 2018 BleepingComputer ohlásil útoky na linuxové servery pomocí ransomwarového programu nazvaného JungleSec, který byl na základě zpráv od obětí nasazen prostřednictvím nezabezpečených rozhraní IPMI s použitím výchozích přihlašovacích údajů výrobce.
V roce 2020 bezpečnostní výzkumník ukázal, jak by mohl využít nezabezpečená rozhraní BMC na cloudu Openstack organizace k převzetí virtualizovaných serverů během penetračního testování.
„iLOBleed poskytuje neuvěřitelně jasnou případovou studii nejen o důležitosti zabezpečení firmwaru v BMC, ale o zabezpečení firmwaru obecně,“ uvedli výzkumníci z Eclypsia. "Mnoho organizací dnes přijalo koncepty, jako je nulová důvěra, která definuje potřebu nezávislého posouzení a ověření bezpečnosti každého aktiva a akce. Ve většině případů se však tyto myšlenky nedostaly k nejzákladnějšímu kódu zařízení." ."
Zmírnění útoků BMC
Standardní bezpečnostní praxí pro rozhraní IPMI, ať už vestavěná nebo přidaná prostřednictvím rozšiřujících karet, je nevystavovat je přímo internetu nebo dokonce hlavní podnikové síti. BMC by měly být umístěny ve vlastním izolovaném segmentu sítě, který je určen pro účely správy. Přístup k tomuto segmentu lze omezit pomocí sítí VLAN, firewallů, VPN a dalších podobných bezpečnostních technologií.
Organizace by měly pravidelně kontrolovat u svých výrobců serverů aktualizace firmwaru BMC a obecněji sledovat CVE objevené ve firmwaru všech svých kritických aktiv. Nedostatek sledování verzí firmwaru a skenování zranitelností vytváří velké slepé místo v podnikových sítích a nízkoúrovňové rootkity, jako je iLOBleed, mohou útočníkům poskytnout vysoce trvalou a silnou oporu v prostředích.
Pokud firmware BMC nabízí možnost blokovat nasazení starších verzí firmwaru -- downgrade -- jako v případě serverů HPE Gen10/iLO5, měla by být tato možnost zapnuta. Měly by být povoleny i další funkce zabezpečení firmwaru, jako je ověřování digitálního podpisu.
Výchozí pověření pro správu pro rozhraní BMC a panely pro správu by se měly změnit a funkce zabezpečení, jako je šifrování provozu a ověřování, by měly být vždy povoleny.
A konečně, mnoho BMC má funkce protokolování, které umožňují sledování a zaznamenávání změn na serverech prostřednictvím specifikací, jako je Redfish a další rozhraní XML. Tyto protokoly by měly být pravidelně kontrolovány, aby byly zjištěny jakékoli neoprávněné změny.