Porta sul retro aperta. Mai un buon segno in un ambiente di sicurezza informatica. I ricercatori che frugano in giro sicuramente racconteranno le loro scoperte in un'istanza come quella recente, dove sembrava che i server cloud potessero essere compromessi.

Beaverton, Gli osservatori della sicurezza dell'Oregon Eclypsium stavano esplorando come il malware potesse essere iniettato nei server cloud bare metal. L'impresa è stata un hack BMC.

Cosa sono i BMC? Dan Goodin in Ars Tecnica ha affermato che si tratta di "microcontrollori collegati alla scheda madre che offrono un controllo straordinario sui server all'interno dei datacenter".

BMC sta per Baseboard Management Controller. Ecco la definizione di IBM. "Baseboard Management Controller (BMC) è un componente di terze parti progettato per consentire la gestione remota di un server per il provisioning iniziale, reinstallazione del sistema operativo e risoluzione dei problemi. Come parte dell'offerta Bare Metal Server di IBM Cloud, i clienti hanno accesso al BMC."

Alex Bazhaniuk sul sito di Eclypsium aveva avvertito di possibili problemi di BMC prima del rapporto più recente di Eclypsium. Ad agosto, ha sottolineato che "il BMC è diventato un'area di indagine particolarmente calda per i ricercatori di sicurezza".

Mentre i BMC potrebbero soddisfare un'esigenza critica per i data center, presentano anche un rischio.

Come ha scoperto Goodin, gli avvisi sui BMC e le possibili debolezze della sicurezza potrebbero essere rintracciati ulteriormente, come nel 2013, quando i ricercatori hanno avvertito che i BMC preinstallati nei server di alcuni grandi produttori di marchi erano scarsamente protetti. A sua volta, gli aggressori potrebbero avere "un modo furtivo e conveniente per prendere il controllo di intere flotte di server all'interno dei datacenter".

Nelle ultime scoperte, i ricercatori hanno pubblicato un blog dettagliato che ha esaminato le implicazioni sulla sicurezza per i servizi cloud bare-metal e generali. Quel blog includeva anche consigli sulle migliori pratiche per clienti e fornitori di servizi cloud.

In un modello cloud "bare metal", Le vulnerabilità di BMC possono minare questo modello consentendo a un cliente di lasciare una backdoor che rimarrà attiva una volta riassegnato il server, disse Goodin.

Sulla stessa nota, BleepComputer Sergiu Gatlan di Sergiu ha scritto che "i server bare metal possono essere compromessi da potenziali aggressori che potrebbero aggiungere backdoor e codice dannosi nel firmware di un server o nel suo controller di gestione del battiscopa (BMC) con competenze minime".

Così, queste "riassegnazioni dei clienti" sono dove possono presentarsi problemi.

In BleepComputer , Gatlan ha riassunto la scoperta di Eclypsium, dove "gli aggressori possono impiantare backdoor dannose all'interno del firmware dell'infrastruttura condivisa dei servizi cloud, con questi impianti in grado di sopravvivere dopo che il fornitore di servizi cloud ha distribuito il server a un altro cliente."

Ha affermato che la vulnerabilità consente agli aggressori di impiantare impianti backdoor nel firmware o BMC di server bare metal che sopravvivono alla riassegnazione dei client nei servizi cloud bare metal e generali.

Con il cliente aperto agli attacchi, gli scenari possono variare dal furto di dati, alla negazione del servizio, al ransomware.

Quando i segugi della sicurezza abbaiano, nel frattempo, IBM ascolta. E se i latrati meritano non solo attenzione ma azione, poi rispondono. Di lunedi, IBM ha affermato di aver riconosciuto la vulnerabilità. "Su alcuni modelli di sistema offerti da IBM Cloud e altri provider cloud, " ha detto il post sul blog, "un utente malintenzionato con accesso al sistema fornito potrebbe sovrascrivere il firmware del BMC." Il sistema potrebbe essere restituito al pool hardware. Il firmware BMC compromesso potrebbe essere utilizzato per attaccare il prossimo utente del sistema.

Non si poteva fare a meno di notare che IBM ha descritto il problema come "bassa gravità". Dopotutto, "Il BMC ha una potenza di elaborazione e una memoria limitate, che rende difficili questi tipi di attacchi, " ha detto IBM. Inoltre, la società ha affermato di non aver trovato alcuna indicazione di un exploit tramite questa vulnerabilità per scopi dannosi.

Che cosa, poi, azione stava proponendo IBM?

"IBM ha risposto a questa vulnerabilità costringendo tutti i BMC, inclusi quelli che stanno già segnalando firmware aggiornato, per essere riprogrammati con il firmware di fabbrica prima di essere riforniti ad altri clienti. Tutti i registri nel firmware BMC vengono cancellati e tutte le password del firmware BMC vengono rigenerate."

Revisione aziendale del computer :"Bare metal si riferisce a un server in locazione esclusiva in un data center cloud, piuttosto che Infrastructure-as-a-Service (IaaS) che coinvolge VM che utilizzano server fisici per più client cloud."

Come ha notato Eclypsium, la maggior parte delle opzioni di servizio IaaS standard prevede che più clienti condividano le risorse di un server fisico sottostante e alcuni clienti avranno requisiti di prestazioni elevate per le loro applicazioni o possederanno dati sensibili che non desiderano archiviare su una macchina condivisa.

"Per queste applicazioni di alto valore, i fornitori di servizi cloud offrono opzioni cloud bare metal in cui i clienti acquistano l'accesso a servizi dedicati, server fisici che possono utilizzare in qualsiasi modo ritengano opportuno. Non c'è bisogno di preoccuparsi di acquistare e supportare l'hardware:possono crescere su richiesta secondo necessità."

Come per tutti i servizi cloud, una volta che un cliente ha finito di utilizzare un server bare metal, l'hardware viene recuperato dal fornitore di servizi e riutilizzato per un altro cliente.

Il consiglio di Gatlan:"Mentre le offerte di cloud bare metal sono molto convenienti per le organizzazioni che non vogliono investire nel proprio hardware, problemi di sicurezza come quello scoperto dal team di ricerca di Eclypsium potrebbero convincerli a passare all'hardware che possiedono e gestiscono in loco per evitare che i dati sensibili vengano visualizzati o modificati, così come le app critiche disabilitate."

© 2019 Scienza X Rete