安全厂商Amnpardaz揭露潜伏于HPE iLO韧体内的iLOBleed,这只恶意程序无法经由韧体更新移除,还能控制iLO韧体更新。
安全厂商Amnpardaz指出,使用iLO5韧体的HPE G10系列是唯一能幸免于iLOBleed攻击的服务器,但用户必须主动启动Secure-Boot机制。
研究人员发现一只恶意程序专门锁定HPE iLO软件及装置,旨在删除HPE服务器上的资料,即使升级iLO韧体也难以防堵。
伊朗安全厂商Amnpardaz揭露其在HPE iLO韧体内,发现一只名为iLOBleed的rootkit,无法经由韧体更新移除,可用于长期潜伏攻击,研判它已经被黑客组织用来攻击用户一段时日。安全厂商相信这是第一只攻击iLO韧体的恶意程序。
iLOBleed 的命名,是来自于专门锁定HPE的iLO(INTEGRATED LIGHTS-OUT)软件。
HPE服务器通常搭配一款iLO管理模块。iLO管理模块可以嵌入服务器或工作站运作,可协助管理服务器软硬件、安装安全更新,远端存取系统控制台、安装CD/DVD映像档等,即使服务器硬件在关机状态下也能执行。研究人员指出,iLO的几项特点,包括具备高度权限,可在任何OS层执行、也能存取硬件底层、管理员及安全工具看不到、市面上很少能监控和防护iLO的方案,懂的人也不多,使其成为恶意程序及APT组织的理想犯罪工具。
攻击者可能经由旧版iLO韧体漏洞,或是从连接的伺服主机植入iLOBleed。研究人员发现它主要行为是一只wiper程序,可删除嵌入iLO装置的服务器硬盘资料,但它的行为不只如此。
研究人员发现iLOBleed还能控制iLO韧体更新,即使管理员升级韧体以修补漏洞,也会被它降成旧版软件,而为了掩饰这点,它还会伪造讯息及日志记录,假装更新已经成功。所有没有防止窜改韧体的安全开机(Secure-Boot)机制的产品,包括跑iLO4及更早之前版本韧体的HP ProLiant Server G9以前产品,都可能遭iLOBleed变更削弱安全性。
唯一能幸免于外的是2021年12月推出、使用iLO5韧体的G10系列,但用户必须主动启动Secure-Boot机制。
根据这桩攻击的手法高明程度,研究人员推测是由国家支持的进阶渗透攻击(advanced persistent threat, APT)黑客组织所为,安全公司表示近期内将释出检测iLO韧体及感染的工具。
1299
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
