安全廠商Amnpardaz指出,使用iLO5韌體的HPE G10系列是唯一能倖免於iLOBleed攻擊的伺服器,但用戶必須主動啟動Secure-Boot機制。(圖片來源/HPE)

【新增HPE回應】研究人員發現一隻惡意程式專門鎖定HPE iLO軟體及裝置,旨在刪除HPE伺服器上的資料,即使升級iLO韌體也難以防堵。

伊朗安全廠商Amnpardaz揭露其在HPE iLO韌體內,發現一隻名為iLOBleed的rootkit,無法經由韌體更新移除,可用於長期潛伏攻擊,研判它已經被駭客組織用來攻擊用戶一段時日。安全廠商相信這是第一隻攻擊iLO韌體的惡意程式。

iLOBleed 的命名,是來自於專門鎖定HPE的iLO(INTEGRATED LIGHTS-OUT)軟體

HPE伺服器通常搭配一款iLO管理模組。iLO管理模組可以嵌入伺服器或工作站運作,可協助管理伺服器軟硬體、安裝安全更新,遠端存取系統控制台、安裝CD/DVD映像檔等,即使伺服器硬體在關機狀態下也能執行。研究人員指出,iLO的幾項特點,包括具備高度權限,可在任何OS層執行、也能存取硬體底層、管理員及安全工具看不到、市面上很少能監控和防護iLO的方案,懂的人也不多,使其成為惡意程式及APT組織的理想犯罪工具。

攻擊者可能經由舊版iLO韌體漏洞,或是從連接的伺服主機植入iLOBleed。研究人員發現它主要行為是一隻wiper程式,可刪除嵌入iLO裝置的伺服器硬碟資料,但它的行為不只如此。

研究人員發現iLOBleed還能控制iLO韌體更新,即使管理員升級韌體以修補漏洞,也會被它降成舊版軟體,而為了掩飾這點,它還會偽造訊息及日誌記錄,假裝更新已經成功。所有沒有防止竄改韌體的安全開機(Secure-Boot)機制的產品,包括跑iLO4及更早之前版本韌體的HP ProLiant Server G9以前產品,都可能遭iLOBleed變更削弱安全性。

唯一能倖免於外的是2021年12月推出、使用iLO5韌體的G10系列,但用戶必須主動啟動Secure-Boot機制。

根據這樁攻擊的手法高明程度,研究人員推測是由國家支持的進階滲透攻擊(advanced persistent threat, APT)駭客組織所為。安全公司表示近期內將釋出檢測iLO韌體及感染的工具。

1月6日新增HPE回應

HPE表示,關於這次Amnpardaz在2021年12月28日的揭露內容,主要是發現有iLOBleed的rootkit的出現,鎖定的是2017年的已知漏洞--CVE-2017-12542、CVE-2017-12543。

上述兩個漏洞,是由Fabien Perigaud of Airbus Defense與Space CyberSecurity,以及Daniel Lawson of MWR InfoSecurity通報給HPE,HP已在2017年與2018年陸續修補完成。

對於用戶而言,用戶若採用的是HP ProLiant Server G10,該伺服器搭載的是未受影響的iLO5,因此,對於Amnpardaz的這次發現就不用太過操心。

至於還是使用HP ProLiant Server G8/G9的產品,HPE表示,用戶只要將iLO4更新到2.53之後版本,就不會再受影響。

關於iLOBleed與上述漏洞的關聯,HPE解釋,iLOBleed rootkit是在未升級iLO4韌體的系統中發現,而當初發現的CVE-2017-12542漏洞,是可經由此漏洞建立未知的iLO4使用者,進而植入rootkit程式,如iLOBleed。

至於臺灣有多少用戶仍使用HP ProLiant Server G9之前的產品,HPE表示,據他們所知,大部分用戶皆已經更新,但無法完全掌握客戶實際使用情形,此外,自2017年後,大多數客戶皆採用新的G10系列產品,國內應有9成以上用戶是使用G10,因此不受影響。文⊙iThome資安主編羅正漢

另外,他們也提供本次事件相關的歷史安全公告供用戶參考:


熱門新聞

Advertisement