研究人員發現,數以千計的企業服務器正運行著易受攻擊的基板管理控制器
即使是在服務器的主操作系統沒有響應的時候,也能夠遠程管理和監視服務器,這對企業IT管理員來說是至關重要的。所有服務器制造商都會通過一組獨立于服務器和操作系統運行的芯片在固件中提供這種功能。這些固件被稱為基板管理控制器(BMC),如果它們沒有得到適當的保護,就可能會為高度持久且難以檢測的rootkits打開大門。
多年來,安全研究人員已經發現并證明了不同服務器制造商的BMC實現中所存在的漏洞,攻擊者也已經利用了其中的一些漏洞。最近的一個例子是iLOBleed,這是一家伊朗網絡安全公司在外部發現的惡意BMC植入物,目標是Hewlett Packard Enterprise(HPE)的Gen 8和Gen9服務器,但這不是多年來發現的唯一一次此類攻擊。
根據固件安全公司Eclypsium的分析,7799個HPE iLO服務器BMC將暴露于互聯網,并且大多數似乎都沒有運行最新版本的固件。當2019年在超微服務器的BMC實現中發現其他漏洞時,來自90多個不同國家的47000多個公開暴露的超微BMC被曝光。可以肯定地說,在所有的服務器供應商中,可以從互聯網上攻擊的BMC接口的數量達幾萬或幾十萬個。
“BMC漏洞其實非常普遍,而且經常在更新時被忽略,”Eclypsium的研究人員在iLOBleed被報告后發表的一篇新博客中說。“漏洞和錯誤配置可能會在一個企業擁有服務器之前就在供應鏈的早期被引入。即使是在部署之后,由于易受攻擊的更新,又或者是對手能夠破壞供應商的更新過程,供應鏈的問題仍然可能存在。最終,這給企業帶來了挑戰,因為在這些企業中,有許多易受攻擊的系統,它們在受到攻擊時會產生非常高的影響,并且對手也會主動利用這些設備。”
iLOBleed植入
HPE的iLO技術在HPE服務器中已經存在超過了15年。它被實現為一個ARM芯片,擁有自己的專用網絡控制器、RAM和閃存。其固件包括一個獨立于服務器主操作系統運行的專用操作系統。像所有BMC一樣,HPE iLO本質上是一臺小型計算機,用于控制一臺更大的計算機——服務器本身。
管理員可以通過基于web的管理面板訪問iLO,該面板將通過BMC的專用網絡端口提供服務,或者通過標準化的智能平臺管理接口(IPMI)協議與BMC通信工具來進行訪問。管理員可以使用iLO來打開和關閉服務器,調整各種硬件和固件設置,訪問系統控制臺,通過遠程連接CD/DVD映像來重新安裝主操作系統,監控硬件和軟件傳感器,甚至是部署BIOS/UEFI更新。
iLOBleed植入物被懷疑是高級持續性威脅(APT)組織的產物,至少從2020年就已經開始使用了。據悉,它會利用已知的漏洞,如CVE-2018-7078和CVE-2018-7113,向iLO固件中注入新的惡意模塊,增加磁盤擦除功能。
一旦安裝,rootkit還會阻止升級固件的嘗試,并報告新版本已經成功安裝,以欺騙管理員。然而,也有辦法來判斷固件有沒有升級。例如,最新可用版本中的登錄屏幕看起來應該會略有不同。如果沒有,則意味著更新被阻止了,即使固件報告的是最新版本。
值得注意的是,如果攻擊者獲得了主機操作系統的root權限,感染iLO固件也是可能的,因為這會允許刷新固件。如果服務器的iLO固件沒有已知的漏洞,也可以將固件降級到易受攻擊的版本。在Gen10上,就可以通過啟用固件設置來防止降級攻擊,但這在默認情況下是不打開的,但這在舊版本上是不可能的。
“攻擊者可以以多種方式濫用這些(BMC)功能,”Eclypsium的研究人員說。“iLOBleed已經展示了使用BMC擦除服務器磁盤的能力。攻擊者可以輕而易舉地竊取數據,安裝額外的負載,以任何方式控制服務器,或者完全禁用它。還需要注意的是,損害物理服務器不僅會使工作負載面臨風險,還會使整個云面臨風險。”
過去的BMC攻擊
2016年,來自微軟的研究人員記錄了一個名為PLATINUM的APT組織的活動,該組織使用英特爾的主動管理技術(AMT)局域網串行(SOL)建立了一個秘密的通信通道來傳輸文件。AMT是英特爾管理引擎(Intel ME)的一個組件,這是一種類似BMC的解決方案,存在于大多數英特爾的臺式機和服務器CPU中。大多數防火墻和網絡監控工具通常沒有提供檢查AMTSOL或IPMId流量的專門配置,從而使PLATINUM的攻擊者能夠逃避檢測。
2018年,BleepingComputer報告了一個名為JungleSec的勒索軟件程序對Linux服務器的攻擊,基于受害者的報告,該程序是通過使用默認制造商憑據的不安全IPMI界面進行部署的。
2020年,一名安全研究人員展示了他是如何在一個組織的Openstack云上利用不安全的BMC接口,在滲透測試項目中接管虛擬化服務器的。
“iLOBleed不僅為BMC中固件安全的重要性,而且為一般的固件安全提供了一個令人難以置信的清晰案例研究,”Eclypsium的研究人員說。“如今,許多組織都采用了零信任等概念,它們定義了獨立評估和驗證每項資產和行動的安全性的必要性。然而,在大多數情況下,這些想法還沒有成為設備最基本的代碼。”
緩解BMC攻擊
IPMI接口的標準安全實踐為,無論是內置的還是通過擴展卡添加的,都不要將它們直接暴露給互聯網甚至是主要的公司網絡。BMC應該放在它們自己的用于管理的隔離網段中。可以通過使用VLAN、防火墻、VPN和其他類似的安全技術來限制對該網段的訪問。
組織應定期向其服務器制造商查詢BMC固件的更新,并更全面地跟蹤在其所有關鍵資產的固件中發現的CVE。缺乏固件版本跟蹤和漏洞掃描將在企業網絡上造成一個很大的盲點,像iLOBleed這樣的低級rootkits可以為攻擊者提供一個在環境中高度持久和強大的立足點。
如果BMC固件提供了阻止部署舊固件版本(降級)的選項,如HPE Gen10/iLO5服務器,則應打開此選項。還應啟用其他的固件安全功能,如數字簽名驗證。
應更改BMC界面和管理面板的默認管理憑據,并始終啟用流量加密和身份驗證等安全功能。
最后,許多BMC也都有日志記錄功能,允許通過Redfish和其他XML接口等規范來監控和記錄對服務器的更改。應該定期審核這些日志,以檢測任何未經授權的更改。
