在其环境中使用 HPE服务器的管理员被警告说,rootkit 正在传播,它利用 Integrated Lights Out (iLO) 管理实用程序中的漏洞擦除硬盘驱动器。
一家名为 Amnpardaz Soft Co. 的伊朗应用程序供应商的一份报告称,它无法通过固件升级删除,并且可以隐藏很长时间。
报告称,这种名为 iLOBleed 的恶意软件已被黑客“使用了一段时间”。Rootkit 在 iLO 固件中添加了一个名为 Implant.ARM.iLOBleed.a 的恶意模块,并修改了许多原始固件模块。rootkit 会在假装完成固件更新的同时默默地阻止固件更新。它还提供对服务器硬件的访问,这可以让攻击者完全擦除服务器磁盘。
iLO 使管理员能够从世界任何地方无缝地远程配置、监控和更新许多 ProLiant 服务器。升级后的许可证添加了图形远程控制台、多用户协作、视频录制/回放、远程管理等。
研究人员的报告指出,iLO 可以完全访问服务器上安装的所有固件、硬件、软件和操作系统。因此,他们说 iLO 是“恶意软件和 APT 组的理想乌托邦”,因为获得批准的用户可以获得高权限,并且“普遍缺乏检查 iLO 和/或保护 iLO 的知识和工具”。此外,iLO 始终在运行。
报告称,不仅可以通过 iLO 网络端口访问和感染 iLO,还可以通过系统管理员或 root 访问主操作系统。这意味着,如果入侵者可以访问对安装在服务器上的主操作系统具有管理员/root 权限的用户 ID,它可以(无需任何进一步身份验证)直接与 iLO 通信,并在它易受攻击时感染它。
该报告称,最大的风险是 iLO4 及其在 HP G9 及以下DL388Gen10服务器上使用的早期版本。这是因为硬件中没有嵌入可信根密钥的安全启动机制,因此这些版本的固件更容易被恶意软件修改和感染。
然而,研究人员补充说,即使 iLO 已经更新到没有任何已知漏洞的最新版本,它仍然可能降级到较低版本,这使得感染完全修补的固件成为可能。如果启用了非默认设置,则可以在 G10 系列服务器中防止这种情况。在较早的服务器上,无法阻止降级机制。
报告补充说,完全断开 iLO 网络电缆或将固件升级到最新版本不足以防止恶意软件感染。
从好的方面来说,有一种检测妥协的相对简单的方法:当恶意软件默默地阻止合法的 iLO 固件升级过程时,它会在 Web UI 中显示一个虚假的“升级”版本。但是,HPE 显着改变了 iLO 的 UI,如下所示。
但是,此恶意软件背后的威胁行为者可能会迅速流行并改变图形。
HPE机架式服务器报告称,与其他“wiper”恶意软件不同,这不是一次性攻击。它旨在通过防止 iLO 固件升级而长时间保持低调;甚至当前固件的确切版本号也被提取并显示在 Web 控制台和其他位置的适当位置。
报告称:“仅此一项就表明,该恶意软件的目的是成为具有最大隐蔽性并躲避所有安全检查的 rootkit。” “一种恶意软件,通过隐藏在最强大的处理资源之一(始终开启)中,能够执行从攻击者那里收到的任何命令,而不会被发现。”
对于防御,研究人员推荐 IT 团队
不将 iLO 网络接口连接到操作网络并临时搭建一个完全独立的网络;
定期将 iLO 固件版本更新为 HPE 的最新官方版本;
在 HP工作站上配置 iLO 安全设置,并禁用 G10 服务器的降级;
在到达 iLO 之前使用纵深防御策略来降低风险和检测入侵;
并定期使用 iLO 扫描程序工具检测当前版本的 iLO 服务器固件中的潜在漏洞、恶意软件和后门程序。
【公司名称】四川旭辉星创科技有限公司
【代理级别】成都惠普HPE服务器工作站总代理
【销售经理】熊经理
【联系方式】座机:028-85596747 手机:18244236404
【公司地址】成都市人民南路4段 桐梓林 商鼎国际2号楼1单元1913
友情链接: 成都惠普服务器总代理成都HP工作站代理商四川慧与存储器代理商成都服务器总代理成都H3C服务器总代理四川HP图形工作站总代理 成都戴尔服务器工作站总代理 成都联想服务器工作站总代理 成都浪潮服务器总代理 成都华为/超聚变服务器总代理 成都华三(H3C)服务器总代理 四川戴尔台式机笔记本销售中心 四川联想服务器总经销商 成都dell台式机笔记本直销中心
四川旭辉星创科技有限公司 Copyright 2021-2022 hpezdl.com 版权所有ICP证:蜀ICP备2021010826号-3
请用微信扫描二维码