固件安全公司Eclypsium周二发布警告,恶意攻击者可能会将固件后门植入到裸机云服务器上,并利用后门来破坏应用程序、窃取数据并发动勒索软件攻击。
裸机云服务为企业组织提供了运行应用程序所需要的硬件,无需提供虚拟机管理程序。与其他类型的云服务(服务器可能有多个租户)的情况不同,裸机服务提供对整台物理服务器的独占式访问。一旦客户不再需要该服务器,硬件就重新分配给另一个客户。
Eclypsium的研究人员发现,黑客可以将固件后门植入到这些服务器上,然后利用后门对该设备的下一个客户发动攻击。这种攻击方法就是所谓的“Cloudborne”。
Eclypsium认为这个问题影响许多裸机服务提供商,不过它对IBM的SoftLayer云服务进行了测试,“因为IBM简化了实际操作和硬件访问。”
对这些服务器进行分析后发现,其中一些服务器使用SuperMicro提供的硬件。
Eclypsium之前已经发现了SuperMicro产品中的安全漏洞,尤其是与底板管理控制器(BMC)有关的漏洞。
BMC是大多数服务器主板上的小型计算机。其智能平台管理接口(IPMI)组件让管理员可以远程控制和监测服务器,无需访问操作系统或在操作系统上运行的应用程序。BMC可用于重启设备、安装操作系统、更新固件、监测系统参数以及分析日志。
Eclypsium已表明,攻击者可以将恶意代码加载到BMC上,以获得对系统的持续访问和控制,甚至可以远程让服务器成为废砖。
研究人员购置了一台服务器,并对其BMC固件进行了细小的良性改动,开始分析IBM SoftLayer服务。Eclypsium特别指出,它做的改动――更改了配置文件(bitflip)中的一个字符,并添加了拥有管理员权限的新IPMI用户――并不涉及钻任何安全漏洞的空子,而是任何客户都可能会进行的改动。
然后专家将服务器发回给IBM,并使用一个不同的帐户购置同一台设备。他们注意到,虽然这家供应商在回收后已删除了IPMI用户,但含有翻转位(flipped bit)的固件并未发生变化。他们还注意到,BMC日志仍在那里,而且BMC root密码一样。
Eclypsium的研究人员说:“使用易受攻击的硬件,再加上不重新刷新固件,恶意攻击者就有可能植入服务器的BMC代码,大搞破坏,或者从以后使用该服务器的IBM客户窃取数据。”
他们补充道:“如果不删除日志,新客户就可以深入了解设备的上一个用户的操作和行为,而知道BMC root密码让攻击者能够在将来更轻松地控制机器。”
据这家安全公司声称,攻击者可能会改动BMC固件,从而发动持久性的拒绝服务(DoS)攻击,使服务器如同废砖。他们还可能植入后门,因而得以访问下一个客户存储在设备上的数据。
Eclypsium解释:“此外,针对驱动器和网络适配器上的固件的攻击本身可以为攻击者提供另一种很低层的窃取或拦截数据的方法。同样,如果对服务器和网络适配器拥有低层控制,攻击者就有了各种方法将数据从云环境泄露出去。”
这种攻击方法还可用于发动勒索软件攻击,攻击者可能威吓会扰乱应用程序和破坏数据。
Eclypsium向IBM通报了研究结果,但起初这家科技巨头似乎忽略了它传达的讯息。然而针对Eclypsium的研究,IBM一直在努力解决这个问题,尽管它没有向这家安全公司给予任何反馈。
IBM发言人告诉IT安全外媒SecurityWeek:“我们没有听说任何客户或IBM的数据因这个报告的潜在漏洞而面临风险,我们已采取了措施以堵住漏洞。鉴于我们采取的补救措施以及利用该漏洞所需要的难度,我们认为它对客户造成的潜在影响很小。虽然该报告侧重于IBM,但这其实是所有云服务提供商面临的波及整个行业的潜在漏洞,我们感谢Eclypsium使这个问题引起业界的注意。”
IBM在周一发布的安全公告中表示,现在它迫使所有BMC用出厂固件重新刷新,然后再交给其他客户。该公司表示,它还将删除所有日志,为BMC固件重新生成所有密码。
然而Eclypsium声称,他们在测试中针对的那台服务器在周一检查时仍然含有固件改动。此外,该公司并不认同IBM的说法:这是一个“严重程度低”的问题,特别指出其CVSS评分是9.3,这属于“严重程度高”的类别。
Eclypsium认为:“虽然与主机服务器相比,BMC硬件的硬件规格很低,但是造成重大安全影响的风险很高。按照设计,BMC旨在管理主机系统;正因为如此,它比主机享有更大的权限。BMC可以持续访问主机的文件、内存(使用DMA)、键盘/显示器和固件(这是必需的,因为它需要能够重新安装/重新配置)。此外,BMC能够将数据发送到外部网络,甚至可能重新配置主机网络接口。这为攻击者提供了偷偷全面控制受害者系统所需要的全部工具。”