即使是在服務(wù)器的主操作系統(tǒng)沒(méi)有響應(yīng)的時(shí)候，也能夠遠(yuǎn)程管理和監(jiān)視服務(wù)器，這對(duì)企業(yè)IT管理員來(lái)說(shuō)是至關(guān)重要的。所有服務(wù)器制造商都會(huì)通過(guò)一組獨(dú)立于服務(wù)器和操作系統(tǒng)運(yùn)行的芯片在固件中提供這種功能。這些固件被稱為基板管理控制器(BMC)，如果它們沒(méi)有得到適當(dāng)?shù)谋Ｗo(hù)，就可能會(huì)為高度持久且難以檢測(cè)的rootkits打開(kāi)大門(mén)。

多年來(lái)，安全研究人員已經(jīng)發(fā)現(xiàn)并證明了不同服務(wù)器制造商的BMC實(shí)現(xiàn)中所存在的漏洞，攻擊者也已經(jīng)利用了其中的一些漏洞。最近的一個(gè)例子是iLOBleed，這是一家伊朗網(wǎng)絡(luò)安全公司在外部發(fā)現(xiàn)的惡意BMC植入物，目標(biāo)是Hewlett Packard Enterprise(HPE)的Gen 8和Gen9服務(wù)器，但這不是多年來(lái)發(fā)現(xiàn)的唯一一次此類(lèi)攻擊。

根據(jù)固件安全公司Eclypsium的分析，7799個(gè)HPE iLO服務(wù)器BMC將暴露于互聯(lián)網(wǎng)，并且大多數(shù)似乎都沒(méi)有運(yùn)行最新版本的固件。當(dāng)2019年在超微服務(wù)器的BMC實(shí)現(xiàn)中發(fā)現(xiàn)其他漏洞時(shí)，來(lái)自90多個(gè)不同國(guó)家的47000多個(gè)公開(kāi)暴露的超微BMC被曝光。可以肯定地說(shuō)，在所有的服務(wù)器供應(yīng)商中，可以從互聯(lián)網(wǎng)上攻擊的BMC接口的數(shù)量達(dá)幾萬(wàn)或幾十萬(wàn)個(gè)。

“BMC漏洞其實(shí)非常普遍，而且經(jīng)常在更新時(shí)被忽略，”Eclypsium的研究人員在iLOBleed被報(bào)告后發(fā)表的一篇新博客中說(shuō)?！奥┒春湾e(cuò)誤配置可能會(huì)在一個(gè)企業(yè)擁有服務(wù)器之前就在供應(yīng)鏈的早期被引入。即使是在部署之后，由于易受攻擊的更新，又或者是對(duì)手能夠破壞供應(yīng)商的更新過(guò)程，供應(yīng)鏈的問(wèn)題仍然可能存在。最終，這給企業(yè)帶來(lái)了挑戰(zhàn)，因?yàn)樵谶@些企業(yè)中，有許多易受攻擊的系統(tǒng)，它們?cè)谑艿焦魰r(shí)會(huì)產(chǎn)生非常高的影響，并且對(duì)手也會(huì)主動(dòng)利用這些設(shè)備?！?/p>

iLOBleed植入

HPE的iLO技術(shù)在HPE服務(wù)器中已經(jīng)存在超過(guò)了15年。它被實(shí)現(xiàn)為一個(gè)ARM芯片，擁有自己的專(zhuān)用網(wǎng)絡(luò)控制器、RAM和閃存。其固件包括一個(gè)獨(dú)立于服務(wù)器主操作系統(tǒng)運(yùn)行的專(zhuān)用操作系統(tǒng)。像所有BMC一樣，HPE iLO本質(zhì)上是一臺(tái)小型計(jì)算機(jī)，用于控制一臺(tái)更大的計(jì)算機(jī)——服務(wù)器本身。

管理員可以通過(guò)基于web的管理面板訪問(wèn)iLO，該面板將通過(guò)BMC的專(zhuān)用網(wǎng)絡(luò)端口提供服務(wù)，或者通過(guò)標(biāo)準(zhǔn)化的智能平臺(tái)管理接口(IPMI)協(xié)議與BMC通信工具來(lái)進(jìn)行訪問(wèn)。管理員可以使用iLO來(lái)打開(kāi)和關(guān)閉服務(wù)器，調(diào)整各種硬件和固件設(shè)置，訪問(wèn)系統(tǒng)控制臺(tái)，通過(guò)遠(yuǎn)程連接CD/DVD映像來(lái)重新安裝主操作系統(tǒng)，監(jiān)控硬件和軟件傳感器，甚至是部署B(yǎng)IOS/UEFI更新。

iLOBleed植入物被懷疑是高級(jí)持續(xù)性威脅(APT)組織的產(chǎn)物，至少?gòu)?020年就已經(jīng)開(kāi)始使用了。據(jù)悉，它會(huì)利用已知的漏洞，如CVE-2018-7078和CVE-2018-7113，向iLO固件中注入新的惡意模塊，增加磁盤(pán)擦除功能。

一旦安裝，rootkit還會(huì)阻止升級(jí)固件的嘗試，并報(bào)告新版本已經(jīng)成功安裝，以欺騙管理員。然而，也有辦法來(lái)判斷固件有沒(méi)有升級(jí)。例如，最新可用版本中的登錄屏幕看起來(lái)應(yīng)該會(huì)略有不同。如果沒(méi)有，則意味著更新被阻止了，即使固件報(bào)告的是最新版本。

值得注意的是，如果攻擊者獲得了主機(jī)操作系統(tǒng)的root權(quán)限，感染iLO固件也是可能的，因?yàn)檫@會(huì)允許刷新固件。如果服務(wù)器的iLO固件沒(méi)有已知的漏洞，也可以將固件降級(jí)到易受攻擊的版本。在Gen10上，就可以通過(guò)啟用固件設(shè)置來(lái)防止降級(jí)攻擊，但這在默認(rèn)情況下是不打開(kāi)的，但這在舊版本上是不可能的。

“攻擊者可以以多種方式濫用這些(BMC)功能，”Eclypsium的研究人員說(shuō)?！癷LOBleed已經(jīng)展示了使用BMC擦除服務(wù)器磁盤(pán)的能力。攻擊者可以輕而易舉地竊取數(shù)據(jù)，安裝額外的負(fù)載，以任何方式控制服務(wù)器，或者完全禁用它。還需要注意的是，損害物理服務(wù)器不僅會(huì)使工作負(fù)載面臨風(fēng)險(xiǎn)，還會(huì)使整個(gè)云面臨風(fēng)險(xiǎn)?！?/p>

過(guò)去的BMC攻擊

2016年，來(lái)自微軟的研究人員記錄了一個(gè)名為PLATINUM的APT組織的活動(dòng)，該組織使用英特爾的主動(dòng)管理技術(shù)(AMT)局域網(wǎng)串行(SOL)建立了一個(gè)秘密的通信通道來(lái)傳輸文件。AMT是英特爾管理引擎(Intel ME)的一個(gè)組件，這是一種類(lèi)似BMC的解決方案，存在于大多數(shù)英特爾的臺(tái)式機(jī)和服務(wù)器CPU中。大多數(shù)防火墻和網(wǎng)絡(luò)監(jiān)控工具通常沒(méi)有提供檢查AMTSOL或IPMId流量的專(zhuān)門(mén)配置，從而使PLATINUM的攻擊者能夠逃避檢測(cè)。

2018年，BleepingComputer報(bào)告了一個(gè)名為JungleSec的勒索軟件程序?qū)inux服務(wù)器的攻擊，基于受害者的報(bào)告，該程序是通過(guò)使用默認(rèn)制造商憑據(jù)的不安全I(xiàn)PMI界面進(jìn)行部署的。

2020年，一名安全研究人員展示了他是如何在一個(gè)組織的Openstack云上利用不安全的BMC接口，在滲透測(cè)試項(xiàng)目中接管虛擬化服務(wù)器的。

“iLOBleed不僅為BMC中固件安全的重要性，而且為一般的固件安全提供了一個(gè)令人難以置信的清晰案例研究，”Eclypsium的研究人員說(shuō)?！叭缃瘢S多組織都采用了零信任等概念，它們定義了獨(dú)立評(píng)估和驗(yàn)證每項(xiàng)資產(chǎn)和行動(dòng)的安全性的必要性。然而，在大多數(shù)情況下，這些想法還沒(méi)有成為設(shè)備最基本的代碼?！?/p>

緩解BMC攻擊

IPMI接口的標(biāo)準(zhǔn)安全實(shí)踐為，無(wú)論是內(nèi)置的還是通過(guò)擴(kuò)展卡添加的，都不要將它們直接暴露給互聯(lián)網(wǎng)甚至是主要的公司網(wǎng)絡(luò)。BMC應(yīng)該放在它們自己的用于管理的隔離網(wǎng)段中?？梢酝ㄟ^(guò)使用VLAN、防火墻、VPN和其他類(lèi)似的安全技術(shù)來(lái)限制對(duì)該網(wǎng)段的訪問(wèn)。

組織應(yīng)定期向其服務(wù)器制造商查詢BMC固件的更新，并更全面地跟蹤在其所有關(guān)鍵資產(chǎn)的固件中發(fā)現(xiàn)的CVE。缺乏固件版本跟蹤和漏洞掃描將在企業(yè)網(wǎng)絡(luò)上造成一個(gè)很大的盲點(diǎn)，像iLOBleed這樣的低級(jí)rootkits可以為攻擊者提供一個(gè)在環(huán)境中高度持久和強(qiáng)大的立足點(diǎn)。

如果BMC固件提供了阻止部署舊固件版本(降級(jí))的選項(xiàng)，如HPE Gen10/iLO5服務(wù)器，則應(yīng)打開(kāi)此選項(xiàng)。還應(yīng)啟用其他的固件安全功能，如數(shù)字簽名驗(yàn)證。

應(yīng)更改BMC界面和管理面板的默認(rèn)管理憑據(jù)，并始終啟用流量加密和身份驗(yàn)證等安全功能。

最后，許多BMC也都有日志記錄功能，允許通過(guò)Redfish和其他XML接口等規(guī)范來(lái)監(jiān)控和記錄對(duì)服務(wù)器的更改。應(yīng)該定期審核這些日志，以檢測(cè)任何未經(jīng)授權(quán)的更改。