Ter a capacidade de gerenciar e monitorar servidores remotamente, mesmo quando seu sistema operacional principal deixa de responder, é vital para os administradores de TI corporativos. Todos os fabricantes de servidores fornecem essa funcionalidade no firmware por meio de um conjunto de chips executados independentemente do restante do servidor e do sistema operacional. Eles são conhecidos como controladores de gerenciamento de placa base (BMCs) e, se não forem protegidos adequadamente, podem abrir a porta para rootkits altamente persistentes e difíceis de detectar.
Ao longo dos anos, os pesquisadores de segurança encontraram e demonstraram vulnerabilidades nas implementações BMC de diferentes fabricantes de servidores e os invasores tiraram proveito de algumas delas. Um exemplo recente é o iLOBleed, um implante BMC malicioso encontrado em estado selvagem por uma empresa iraniana de segurança cibernética que tem como alvo servidores Hewlett Packard Enterprise (HPE) Gen8 e Gen9, mas este não é o único ataque desse tipo encontrado ao longo dos anos.
De acordo com uma análise da empresa de segurança de firmware Eclypsium, 7.799 BMCs de servidores HPE iLO (HPE's Integrated Lights-Out) estão expostos à Internet e a maioria não parece estar executando a versão mais recente do firmware. Quando outras vulnerabilidades foram encontradas na implementação BMC dos servidores Supermicro em 2019, mais de 47.000 BMCs Supermicro expostos publicamente de mais de 90 países diferentes foram expostos. É seguro dizer que, em todos os fornecedores de servidores, o número de interfaces BMC que podem ser atacadas pela Internet é de dezenas ou centenas de milhares.
“As vulnerabilidades do BMC também são incrivelmente comuns e muitas vezes negligenciadas quando se trata de atualizações”, disseram os pesquisadores do Eclypsium em uma nova postagem no blog após os relatórios do iLOBleed. "Vulnerabilidades e configurações incorretas podem ser introduzidas no início da cadeia de suprimentos, antes mesmo de uma organização se apropriar de um servidor. Os problemas da cadeia de suprimentos ainda podem existir mesmo após a implantação devido a atualizações vulneráveis ou se adversários puderem comprometer o processo de atualização de um fornecedor. Em última análise, isso cria um desafio para empresas nas quais existem muitos sistemas vulneráveis, impactos muito altos no caso de um ataque e adversários explorando ativamente os dispositivos em estado selvagem."
O implante iLOBleed
A tecnologia iLO da HPE existe nos servidores HPE há mais de 15 anos. É implementado como um chip ARM que possui seu próprio controlador de rede dedicado, RAM e armazenamento flash. Seu firmware inclui um sistema operacional dedicado que funciona independentemente do sistema operacional principal do servidor. Como todos os BMCs, o HPE iLO é essencialmente um pequeno computador projetado para controlar um computador maior -- o próprio servidor.
Os administradores podem acessar o iLO por meio de um painel de administração baseado na Web que é atendido pela porta de rede dedicada do BMC ou por meio de ferramentas que se comunicam com o BMC por meio do protocolo IPMI (Intelligent Platform Management Interface) padronizado. Os administradores podem usar o iLO para ligar e desligar o servidor, ajustar várias configurações de hardware e firmware, acessar o console do sistema, reinstalar o sistema operacional principal anexando uma imagem de CD/DVD remotamente, monitorar sensores de hardware e software e até mesmo implantar atualizações de BIOS/UEFI .
Suspeita-se que o implante iLOBleed seja a criação de um grupo de ameaça persistente avançada (APT) e é usado desde pelo menos 2020. Acredita-se que ele explore vulnerabilidades conhecidas, como CVE-2018-7078 e CVE-2018-7113, para injetar novos módulos maliciosos no firmware do iLO que adicionam funcionalidade de limpeza de disco.
Uma vez instalado, o rootkit também bloqueia as tentativas de atualizar o firmware e relata que a versão mais recente foi instalada com sucesso para enganar os administradores. No entanto, existem maneiras de saber que o firmware não foi atualizado. Por exemplo, a tela de login na última versão disponível deve ter uma aparência um pouco diferente. Caso contrário, significa que a atualização foi impedida, mesmo que o firmware informe a versão mais recente.
Também é importante observar que é possível infectar o firmware do iLO se um invasor obtiver privilégios de root (administrador) para o sistema operacional do host, pois isso permite atualizar o firmware. Se o firmware do iLO do servidor não tiver vulnerabilidades conhecidas, é possível fazer o downgrade do firmware para uma versão vulnerável. No Gen10, é possível evitar ataques de downgrade ativando uma configuração de firmware, mas isso não é ativado por padrão e não é possível em gerações mais antigas.
“Os invasores podem abusar desses recursos [BMC] de várias maneiras”, disseram os pesquisadores do Eclypsium. "O iLOBleed demonstrou a capacidade de usar o BMC para limpar os discos de um servidor. O invasor pode facilmente roubar dados, instalar cargas adicionais, controlar o servidor de qualquer maneira ou desativá-lo totalmente. Também é importante observar que comprometer servidores físicos pode colocar não apenas cargas de trabalho, mas nuvens inteiras em risco."
Ataques BMC anteriores
Em 2016, pesquisadores da Microsoft documentaram as atividades de um grupo APT apelidado de PLATINUM, que usava a tecnologia de gerenciamento ativo (AMT) Serial-over-LAN (SOL) da Intel para configurar um canal de comunicação secreto para transferir arquivos. AMT é um componente do Intel Management Engine (Intel ME), uma solução semelhante ao BMC que existe na maioria das CPUs de desktop e servidor da Intel. A maioria dos firewalls e ferramentas de monitoramento de rede não está configurada para inspecionar o tráfego AMT SOL ou IPMI em geral, permitindo que invasores como o PLATINUM evitem a detecção.
Em 2018, o BleepingComputer relatou ataques contra servidores Linux com um programa ransomware chamado JungleSec que, com base em relatórios de vítimas, foi implantado por meio de interfaces IPMI inseguras usando credenciais padrão do fabricante.
Em 2020, um pesquisador de segurança mostrou como poderia aproveitar as interfaces inseguras do BMC na nuvem Openstack de uma organização para assumir o controle de servidores virtualizados durante um teste de penetração.
“O iLOBleed fornece um estudo de caso incrivelmente claro não apenas sobre a importância da segurança do firmware em BMCs, mas também para a segurança do firmware em geral”, disseram os pesquisadores da Eclypsium. "Muitas organizações hoje adotaram conceitos como confiança zero, que define a necessidade de avaliar e verificar de forma independente a segurança de cada ativo e ação. No entanto, na maioria dos casos, essas ideias não chegaram ao código mais fundamental de um dispositivo ."
Mitigação de ataques BMC
A prática de segurança padrão para interfaces IPMI, sejam elas integradas ou adicionadas por meio de placas de expansão, é não expô-las diretamente à Internet ou mesmo à rede corporativa principal. Os BMCs devem ser colocados em seu próprio segmento de rede isolado destinado a fins de gerenciamento. O acesso a esse segmento pode ser restrito usando VLANs, firewalls, VPNs e outras tecnologias de segurança semelhantes.
As organizações devem verificar periodicamente com os fabricantes de seus servidores as atualizações do firmware BMC e, de maneira mais geral, rastrear os CVEs descobertos no firmware de todos os seus ativos críticos. A falta de rastreamento de versão de firmware e varredura de vulnerabilidade cria um grande ponto cego em redes corporativas e rootkits de baixo nível como o iLOBleed podem fornecer aos invasores uma posição altamente persistente e poderosa dentro dos ambientes.
Se o firmware BMC oferecer a opção de bloquear a implantação de versões de firmware mais antigas -- downgrades -- como no caso de servidores HPE Gen10/iLO5, essa opção deve ser ativada. Outros recursos de segurança do firmware, como verificação de assinatura digital, também devem ser ativados.
As credenciais administrativas padrão para interfaces BMC e painéis de administração devem ser alteradas e os recursos de segurança, como criptografia de tráfego e autenticação, sempre devem ser ativados.
Por fim, muitos BMCs têm recursos de registro que permitem que as alterações nos servidores sejam monitoradas e registradas por meio de especificações como Redfish e outras interfaces XML. Esses logs devem ser auditados periodicamente para detectar quaisquer alterações não autorizadas.
