iLOBleed: руткит атакует серверы HP и стирает данные

Исследователи обнаружили ранее неизвестный руткит, который нацелен на технологию управления серверами Integrated Lights-Out (iLO) от Hewlett-Packard Enterprise. Вредонос вмешивается в модули прошивки и способен полностью стирать данные с заражённых систем. О находке на этой неделе сообщила иранская компания Amnpardaz, специализирующаяся на кибербезопасности, — это первый известный случай реального вредоносного ПО, работающего непосредственно в прошивке iLO.

Почему iLO — идеальная мишень

Модуль iLO обладает чрезвычайно высокими привилегиями — выше любого уровня доступа в операционной системе, — а также низкоуровневым доступом к оборудованию. При этом он остаётся полностью вне поля зрения администраторов и средств защиты. По словам исследователей, у большинства специалистов попросту нет знаний и инструментов для проверки iLO или его защиты.

Добавьте к этому персистентность: вредонос сохраняется даже после смены операционной системы, а сам модуль работает постоянно и никогда не выключается. iLO имеет широкий доступ ко всей прошивке, аппаратной части, программному обеспечению и ОС сервера — это делает его удобной точкой для взлома организаций, использующих оборудование HP. Заражение переживает как перезагрузки, так и переустановку операционной системы.

Как работает iLOBleed

Руткит, получивший название iLOBleed, применяется в атаках с 2020 года. Его задача — манипулировать рядом штатных модулей прошивки, чтобы незаметно блокировать её обновления. Модифицированная процедура имитирует процесс обновления прошивки: она показывает якобы правильную версию и добавляет соответствующие записи в журналы, тогда как на деле никакого обновления не происходит.

«Уже одно это показывает, что цель вредоноса — быть руткитом с максимальной скрытностью и прятаться от любых проверок безопасности, — отмечают исследователи. — Он скрывается в одном из самых мощных вычислительных ресурсов, который всегда включён, и способен выполнять любые команды атакующего, оставаясь незамеченным».

Точный способ проникновения в сетевую инфраструктуру и развёртывания «вайпера» пока остаётся неизвестным. Личность злоумышленников также не установлена, но в Amnpardaz считают, что за руткитом, вероятно, стоит APT-группировка — то есть государственная или спонсируемая государством команда, которая использует продолжительные, скрытные и изощрённые методы взлома, чтобы надолго закрепиться в системе, не привлекая внимания.

Позиция HPE и меры защиты

В комментарии для The Hacker News компания HPE заявила, что используемая уязвимость не нова: она была раскрыта и закрыта патчем ещё в 2017 году. Наибольшему риску подвержены версии iLO 4 и более ранние. Клиенты, которые выполнили рекомендованные корректирующие действия или перешли на iLO 5, эксплуатации не подвержены.

История вновь заостряет внимание на безопасности прошивок. Специалисты рекомендуют оперативно устанавливать обновления прошивки от производителя, изолировать сети iLO от рабочих сетей и периодически проверять прошивку на признаки заражения.

Есть и тревожный нюанс: заразить iLO можно как через сеть, так и через хостовую операционную систему. Это значит, что даже при полностью отключённом сетевом кабеле iLO возможность заражения сохраняется. При этом полностью выключить или отключить iLO, если он не нужен, нельзя.

Источник: The Hacker News.