Арендованные сервера могут быть заражены шпионами от предыдущих владельцев

Опубликовано at 14:59
176 0

Эксперты по кибербезопасности из компании Eclypsium наглядно продемонстрировали, что хакеры могут арендовать сервер и внедрить в его прошивку шпионское ПО, которое не будет удалено провайдером (который может быть просто не в курсе или пренебрежет обязанностями по очистке сервера).

Смысл эксперимента Eclypsium в том, что облачные провайдеры, сдающие свои физические серверы в аренду, должны тщательно следить за тем, чтобы между их развертываниями (сменами пользователей) записываемая память была полностью очищена. Если сервер ранее был в пользовании у злоумышленников, то они могут оставлять в флэш-памяти на материнской плате вредоносное ПО, активизирующееся после того, как сервер был сдан в аренду следующему клиенту.

Такая возможность была продемонстрирована специалистами Eclypsium на примере принадлежащего IBM поставщика выделенных серверов SoftLayer. По словам исследователей, злоумышленники могут арендовать физический сервер, проэксплуатировать уязвимость в его прошивке (например, в кодах UEFI или BMC) и, обеспечив себе постоянное присутствие на сервере, через шпионское ПО тайно следить за его использованием следующими арендаторами.

Разумеется, в идеале перед тем, как сдавать квартиру следующим жильцам, надо сделать уборку, и перед тем, как передавать сервер следующим арендаторам, провайдер должен полностью очистить память и сбросить все настройки прошивки. Тем не менее, вышеописанные атаки вполне реальны, так как многие провайдеры пренебрегают полностью или частично этим обязанностями.

Чтобы продемонстрировать наглядно свою позицию, специалисты Eclypsium арендовали сервер у SoftLayer и внесли некоторые изменения в уязвимую прошивку Supermicro BMC. Затем исследователи вернули сервер провайдеру и снова арендовали его от имени другого пользователя, для того чтобы посмотреть, сохранились ли внесенные ими изменения (они сохранились). То есть провайдер получил свой сервер обратно от предыдущего арендатора, очистил его и сдал внаем другому арендатору, но настройки прошивки при этом не были сброшены, так что при желании за новым владельцем сервера можно было следить.

Читайте также на АКБ:

Американские маршрутизаторы Cisco в осаде: спасибо эксплоиту КБ-специалиста

Новая атака на дата-центры убивает BMC-контроллеры в серверах

Микросхемы ASPEED позволяют хакеру удаленно переписать прошивку OpenBMC

Подписываемся, следим @CyberAgency

Related Post

Добавить комментарий