Mahdollisuus hallita ja valvoa palvelimia etänä, vaikka niiden pääkäyttöjärjestelmä ei vastaa, on yritysten IT-järjestelmänvalvojille elintärkeää. Kaikki palvelinvalmistajat tarjoavat tämän toiminnon laiteohjelmistossa sirujen avulla, jotka toimivat muista palvelimesta ja käyttöjärjestelmästä riippumatta. Näitä kutsutaan baseboard-hallintaohjaimiksi (BMC), ja jos niitä ei ole suojattu kunnolla, ne voivat avata oven erittäin pysyville ja vaikeasti havaittaville rootkiteille.
Tietoturvatutkijat ovat vuosien varrella löytäneet ja osoittaneet haavoittuvuuksia eri palvelinvalmistajien BMC-toteutuksissa ja hyökkääjät ovat hyödyntäneet joitain niistä. Yksi tuore esimerkki on iLOBleed, iranilaisen kyberturvallisuusyhtiön luonnosta löytämä haitallinen BMC-istute, joka kohdistuu Hewlett Packard Enterprise (HPE) Gen8- ja Gen9-palvelimiin, mutta tämä ei ole ainoa tällainen hyökkäys vuosien varrella.
Laiteohjelmiston tietoturvayhtiö Eclypsiumin analyysin mukaan 7 799 HPE iLO (HPE:n integroitu valolähtö) -palvelin BMC:tä on alttiina Internetiin, eivätkä useimmat niistä näytä käyttävän laiteohjelmiston uusinta versiota. Kun Supermicro-palvelimien BMC-toteutuksessa löydettiin muita haavoittuvuuksia vuonna 2019, yli 47 000 julkisesti esillä olevaa Supermicro BMC:tä yli 90 eri maasta paljastettiin. On turvallista sanoa, että kaikilla palvelintoimittajilla Internetistä hyökätävien BMC-liittymien määrä on kymmeniä tai satoja tuhansia.
"BMC-haavoittuvuudet ovat myös uskomattoman yleisiä, ja ne jätetään usein huomiotta päivityksissä", Eclypsiumin tutkijat sanoivat uudessa blogiviestissä iLOBleed-raporttien jälkeen. "Haavoittuvuuksia ja virheellisiä määrityksiä voidaan ottaa käyttöön toimitusketjun varhaisessa vaiheessa, ennen kuin organisaatio ottaa palvelimen omistukseensa. Toimitusketjuongelmia voi esiintyä myös käyttöönoton jälkeen haavoittuvien päivitysten vuoksi tai jos vastustajat voivat vaarantaa toimittajan päivitysprosessin. Viime kädessä tämä luo haasteen yrityksille, joissa on monia haavoittuvia järjestelmiä, erittäin suuria vaikutuksia hyökkäyksen sattuessa ja vastustajia, jotka käyttävät laitteita aktiivisesti luonnossa."
iLOBleed-implantti
HPE:n iLO-teknologia on ollut olemassa HPE-palvelimissa yli 15 vuotta. Se on toteutettu ARM-siruna, jolla on oma verkko-ohjain, RAM ja flash-muisti. Sen laiteohjelmisto sisältää erillisen käyttöjärjestelmän, joka toimii palvelimen pääkäyttöjärjestelmästä riippumatta. Kuten kaikki BMC:t, HPE iLO on pohjimmiltaan pieni tietokone, joka on suunniteltu ohjaamaan suurempaa tietokonetta – itse palvelinta.
Järjestelmänvalvojat voivat käyttää iLO:ta verkkopohjaisen hallintapaneelin kautta, jota palvellaan BMC:n erillisen verkkoportin kautta, tai työkalujen kautta, jotka keskustelevat BMC:n kanssa standardoidun IPMI (Intelligent Platform Management Interface) -protokollan kautta. Järjestelmänvalvojat voivat käynnistää ja sammuttaa palvelimen iLO:n avulla, säätää erilaisia laitteisto- ja laiteohjelmistoasetuksia, käyttää järjestelmäkonsolia, asentaa pääkäyttöjärjestelmän uudelleen liittämällä CD/DVD-kuvan etäältä, valvoa laitteisto- ja ohjelmistoantureita ja jopa ottaa käyttöön BIOS/UEFI-päivityksiä. .
iLOBleed-implanttien epäillään luovan kehittyneen jatkuvan uhkan (APT) ryhmää, ja sitä on käytetty ainakin vuodesta 2020 lähtien. Sen uskotaan hyödyntävän tunnettuja haavoittuvuuksia, kuten CVE-2018-7078 ja CVE-2018-7113, uusien ruiskuttamiseen. haitalliset moduulit iLO-laiteohjelmistoon, jotka lisäävät levyn pyyhkimistoiminnon.
Kun rootkit on asennettu, se estää myös yritysohjelmiston päivitysyritykset ja raportoi, että uudempi versio on asennettu onnistuneesti järjestelmänvalvojien huijaamiseksi. On kuitenkin tapoja kertoa, että laiteohjelmistoa ei ole päivitetty. Esimerkiksi uusimman saatavilla olevan version kirjautumisnäytön pitäisi näyttää hieman erilaiselta. Jos ei, se tarkoittaa, että päivitys estettiin, vaikka laiteohjelmisto ilmoittaisi uusimman version.
On myös syytä huomata, että iLO-laiteohjelmiston tartuttaminen on mahdollista, jos hyökkääjä saa pääkäyttäjän (järjestelmänvalvojan) oikeudet isäntäkäyttöjärjestelmään, koska tämä mahdollistaa laiteohjelmiston päivittämisen. Jos palvelimen iLO-laiteohjelmistossa ei ole tunnettuja haavoittuvuuksia, on mahdollista päivittää laiteohjelmisto haavoittuvaan versioon. Gen10:ssä on mahdollista estää downgrade-hyökkäykset ottamalla käyttöön laiteohjelmistoasetus, mutta tämä ei ole oletusarvoisesti päällä eikä mahdollista vanhemmissa sukupolvissa.
"Hyökkääjät voivat käyttää väärin näitä [BMC]-ominaisuuksia monin eri tavoin", Eclypsiumin tutkijat sanoivat. "iLOBleed on osoittanut kyvyn käyttää BMC:tä palvelimen levyjen pyyhkimiseen. Hyökkääjä voi yhtä helposti varastaa tietoja, asentaa lisäkuormia, hallita palvelinta millä tahansa tavalla tai poistaa sen kokonaan käytöstä. On myös tärkeää huomata, että Fyysisten palvelimien vaarantaminen voi vaarantaa työkuormien lisäksi kokonaiset pilvet."
Aiemmat BMC-hyökkäykset
Vuonna 2016 Microsoftin tutkijat dokumentoivat PLATINUM-nimisen APT-ryhmän toiminnan, joka käytti Intelin Active Management Technology (AMT) Serial-over-LAN-tekniikkaa (SOL) perustaakseen salaisen viestintäkanavan tiedostojen siirtoon. AMT on osa Intel Management Engine (Intel ME), BMC-tyyppinen ratkaisu, joka on olemassa useimmissa Intelin työpöytä- ja palvelinsuorittimissa. Useimpia palomuureja ja verkonvalvontatyökaluja ei ole määritetty tarkastamaan AMT SOL- tai IPMI-liikennettä yleensä, jolloin hyökkääjät, kuten PLATINUM, voivat välttää havaitsemisen.
Vuonna 2018 BleepingComputer ilmoitti hyökkäyksistä Linux-palvelimia vastaan JungleSec-nimisellä kiristysohjelmalla, joka uhrien raporttien perusteella otettiin käyttöön turvattomien IPMI-rajapintojen kautta käyttämällä oletusarvoisia valmistajan tunnistetietoja.
Vuonna 2020 tietoturvatutkija osoitti, kuinka hän voisi hyödyntää organisaation Openstack-pilvessä olevia epävarmoja BMC-liittymiä ottaakseen virtualisoidut palvelimet haltuunsa läpäisytestauksen aikana.
"iLOBleed tarjoaa uskomattoman selkeän tapaustutkimuksen paitsi laiteohjelmiston tietoturvan tärkeydestä BMC:issä, myös laiteohjelmiston turvallisuuden kannalta yleensä", Eclypsiumin tutkijat sanoivat. "Monet organisaatiot ovat nykyään omaksuneet käsitteitä, kuten nolla luottamus, joka määrittelee tarpeen arvioida ja varmistaa jokaisen omaisuuden ja toiminnon turvallisuus itsenäisesti. Useimmissa tapauksissa nämä ideat eivät kuitenkaan ole päässeet laitteen perustavimpaan koodiin. ."
BMC-hyökkäysten lieventäminen
IPMI-rajapintojen vakiosuojauskäytäntö, olivatpa ne sisäänrakennettuja tai lisättyjen laajennuskortilla, ei altista niitä suoraan Internetiin tai edes yrityksen pääverkkoon. BMC:t tulee sijoittaa omaan eristettyyn verkkosegmenttiin, joka on tarkoitettu hallintatarkoituksiin. Pääsyä tähän segmenttiin voidaan rajoittaa käyttämällä VLAN-verkkoja, palomuureja, VPN:itä ja muita vastaavia tietoturvatekniikoita.
Organisaatioiden tulee säännöllisesti tarkistaa palvelimien valmistajilta BMC-laiteohjelmiston päivitykset ja yleisemmin seurata kaikkien kriittisten resurssiensa laiteohjelmistosta löydettyjä CVE:itä. Laiteohjelmistoversion seurannan ja haavoittuvuustarkistuksen puute luo suuren sokean pisteen yritysverkoissa, ja matalan tason rootkitit, kuten iLOBleed, voivat tarjota hyökkääjille erittäin jatkuvan ja tehokkaan jalansijan ympäristöissä.
Jos BMC-laiteohjelmisto tarjoaa mahdollisuuden estää vanhempien laiteohjelmistoversioiden käyttöönoton – alempien päivitysten –, kuten HPE Gen10/iLO5 -palvelimien tapauksessa, tämä vaihtoehto tulee ottaa käyttöön. Myös muut laiteohjelmiston suojausominaisuudet, kuten digitaalisen allekirjoituksen vahvistus, tulisi ottaa käyttöön.
BMC-liitäntöjen ja hallintapaneelien oletusjärjestelmänvalvojan tunnistetiedot tulee muuttaa ja suojausominaisuudet, kuten liikenteen salaus ja todennus, tulee aina ottaa käyttöön.
Lopuksi monilla BMC:illä on lokiominaisuudet, jotka mahdollistavat palvelimien muutosten seurannan ja tallentamisen eritelmien, kuten Redfish- ja muiden XML-liitäntöjen kautta. Nämä lokit on tarkastettava säännöllisesti luvattomien muutosten havaitsemiseksi.
