,即使在服务器主操作系统无响应的情况下也能远程管理和监控服务器,这对企业IT具有重大影响。这对管理员来说非常重要。所有服务器制造商都通过一组独立于服务器和操作系统运行的芯片在固件中提供此功能。这些固件被称为底板管理控制器(BMC),如果它们没有得到适当的保护,它们可能会为高度持久且难以检测的Rootkit敞开大门。多年来,安全研究人员发现并记录了不同服务器制造商的BMC实施中的漏洞,攻击者已经利用了其中的一些漏洞。最近的一个例子是iLOBleed,这是一种恶意BMC植入程序,由一家伊朗网络安全公司在外部发现,目标是HewlettPackardEnterprise(HPE)第8代和第9代服务器,但这并不是多年来发现的唯一此类攻击。根据固件安全公司Eclypsium的分析,7,799个HPEiLO服务器BMC将暴露在互联网上,而且大多数似乎没有运行最新版本的固件。当2019年在Supermicro服务器的BMC实施中发现其他漏洞时,来自90多个不同国家的47,000多个公开曝光的SupermicroBMC被曝光。可以肯定的说,在所有的服务器供应商中,能够被外网攻击的BMC接口数以万计,数十万计。“BMC漏洞实际上非常普遍,并且在更新中经常被忽视,”Eclypsium研究人员在iLOBleed被报道后的一篇新博客文章中说。“漏洞和错误配置可能会在供应链的早期引入,甚至在组织拥有服务器之前。即使在部署之后,供应链的问题仍然存在。最终,这给企业带来了挑战,因为在这些企业中,有许多易受攻击的系统,它们在受到攻击时会产生非常大的影响,并且对手会积极利用这些设备。“iLOBleed已将HPE的iLO技术嵌入到HPE服务器中超过15年。它作为一个ARM芯片实现,具有自己的专用网络控制器、RAM和闪存。其固件包括独立于服务器主操作系统运行的专用操作系统。与所有BMC一样,HPEiLO本质上是一台小型计算机,用于控制大型计算机——服务器本身。管理员可以通过基于Web的管理面板访问iLO,该面板将通过BMC的专用网络端口提供服务,或者通过与BMC的标准化智能平台管理接口(IPMI)协议通信工具提供服务。管理员可以使用iLO打开和关闭服务器、调整各种硬件和固件设置、访问系统控制台、通过远程连接到CD/DVD映像重新安装主操作系统、监控硬件和软件传感器,甚至部署BIOS/UEFI更新.iLOBleed植入物被怀疑是高级持续性威胁(APT)组织的产物,至少从2020年开始使用。据悉,它将利用已知漏洞,例如CVE-2018-7078和CVE-2018-7113,为iLO固件注入新的恶意模块,增加磁盘擦除功能。安装后,rootkit还会阻止升级固件的尝试,并报告新版本已成功安装以欺骗管理员。但是,有一些方法可以判断固件是否已更新。例如,登录屏幕在最新可用版本中看起来应该略有不同。如果不是,则意味着更新被阻止,即使固件报告最新版本。值得注意的是,如果攻击者获得了对主机操作系统的根访问权限,也有可能感染iLO固件,因为这将允许固件被刷新。如果服务器的iLO固件没有已知漏洞,也可以将固件降级到易受攻击的版本。在Gen10上,可以通过启用默认情况下未打开的固件设置来防止降级攻击,但这在旧版本上是不可能的。Eclypsium研究人员说:“对手可以通过多种方式滥用这些(BMC)功能。”“iLOBleed展示了使用BMC擦除服务器磁盘的能力。攻击者可以轻松窃取数据、安装额外的有效负载、以任何方式控制服务器或完全禁用它。同样重要的是要注意,破坏物理服务器不仅会把工作负载置于风险之中,而且会让整个云都处于风险之中。”过去的BMC攻击2016年,微软的研究人员记录了一个名为PLATINUM的APT组织的活动,该组织使用英特尔的主动管理技术(AMT)LAN串行(SOL)建立秘密通信通道来传输文件。AMT是IntelManagementEngine(IntelME)的一个组件,这是一种类似于BMC的解决方案,存在于大多数Intel台式机和服务器CPU中。大多数防火墙和网络监控工具通常不提供用于检查AMTSOL或IPMId流量的特定配置,从而允许PLATINUM的攻击者逃避检测。2018年,BleepingComputer报告了名为JungleSec的勒索软件程序对Linux服务器的攻击,根据受害者的报告,该程序是通过使用默认制造商凭据的不安全IPMI接口部署的。2020年,一名安全研究人员展示了他如何利用组织的Openstack云上不安全的BMC接口接管渗透测试项目中的虚拟化服务器。Eclypsium研究人员说:“iLOBleed提供了一个非常清晰的案例研究,不仅说明了BMC中固件安全的重要性,而且还说明了一般固件安全的重要性。”“如今,许多组织都采用了零信任等概念,这些概念定义了独立评估和验证每项资产和行为安全性的必要性。然而,在大多数情况下,这些想法还没有成为设备最基本的代码。减轻BMC对IPMI接口攻击的标准安全做法,无论是内置还是通过扩展卡添加,都不会直接暴露在互联网或甚至到主要的公司网络。BMC应该放在自己隔离的网段进行管理。可以通过使用VLAN、防火墙、VPN和其他类似的安全技术来限制对该网段的访问。组织应定期检查其服务器制造商是否有BMC固件更新,并更全面地跟踪在其所有关键资产的固件中发现的CVE。缺乏固件版本跟踪和漏洞扫描将在企业网络上造成很大的盲点,而像iLOBleed这样的低级Rootkit可以为攻击者提供高度持久和强大的环境立足点。如果BMC固件提供了防止部署旧固件版本(降级)的选项,例如HPEGen10/iLO5服务器,则应打开此选项。还应启用其他固件安全功能,例如数字签名验证。应更改BMC界面和管理面板的默认管理凭据,并应始终启用流量加密和身份验证等安全功能。最后,许多BMC还具有日志记录功能,允许通过Redfish和其他XML接口等规范监视和记录对服务器的更改。应定期审核这些日志以检测任何未经授权的更改。
