Ciberseguridad

Miles de servidores empresariales ejecutan BMC vulnerables

Según el análisis de la firma de seguridad de firmware Eclypsium, 7799 controladores de administración de placa base (BMC) de servidor HPE iLO (HPE's Integrated Lights-Out) están expuestos a Internet y la mayoría no parece estar ejecutando la última versión del firmware.

Ciberataque teclado ordenador

Tener la capacidad de administrar y monitorizar servidores de forma remota, incluso cuando su sistema operativo principal deja de responder, es vital para los administradores de TI de la empresa. Todos los fabricantes de servidores brindan esta funcionalidad en el firmware a través de un conjunto de chips que se ejecutan independientemente del resto del servidor y el sistema operativo. Estos se conocen como controladores de administración de placa base (BMC) y, si no están asegurados adecuadamente, pueden abrir la puerta a rootkits altamente persistentes y difíciles de detectar.

A lo largo de los años, los investigadores de seguridad han encontrado y demostrado vulnerabilidades en las implementaciones de BMC de diferentes fabricantes de servidores y los atacantes se han aprovechado de algunas de ellas. Un ejemplo reciente es iLOBleed, un implante BMC malicioso encontrado en estado salvaje por una empresa de seguridad cibernética iraní, que apunta a los servidores Gen8 y Gen9 de Hewlett Packard Enterprise (HPE), pero este no es el único ataque de este tipo encontrado a lo largo de los años.

Según un análisis realizado por la firma de seguridad de firmware Eclypsium, 7799 BMC de servidor HPE iLO (HPE's Integrated Lights-Out) están expuestos a Internet y la mayoría no parece estar ejecutando la última versión del firmware. Cuando se encontraron otras vulnerabilidades en la implementación de BMC de los servidores Supermicro en 2019, se expusieron públicamente más de 47 000 BMC Supermicro de más de 90 países diferentes. Podemos asegurar que en todos los proveedores de servidores, la cantidad de interfaces BMC que pueden ser atacadas desde Internet es de decenas o cientos de miles.

"Las vulnerabilidades de BMC también son increíblemente comunes y, a menudo, se pasan por alto cuando se trata de actualizaciones", han asegurado los investigadores de Eclypsium en una nueva publicación de blog después de los informes de iLOBleed. "Las vulnerabilidades y las configuraciones incorrectas pueden introducirse al principio de la cadena de suministro antes de que una organización tome posesión de un servidor. Los problemas de la cadena de suministro pueden seguir existiendo incluso después de la implementación, debido a actualizaciones vulnerables o si los adversarios pueden comprometer el proceso de actualización de un proveedor. En última instancia, esto crea un desafío para las empresas en las que hay muchos sistemas vulnerables, impactos muy altos en el caso de un ataque, y adversarios que explotan activamente los dispositivos en la naturaleza" explican desde Eclypsium.

 

El implante iLOBleed

La tecnología iLO de HPE existe en los servidores HPE desde hace más de 15 años. Se implementa como un chip ARM que tiene su propio controlador de red dedicado, RAM y almacenamiento flash. Su firmware incluye un sistema operativo dedicado que se ejecuta independientemente del sistema operativo principal del servidor. Como todos los BMC, HPE iLO es esencialmente una computadora pequeña diseñada para controlar una computadora más grande: el servidor en sí.

Los administradores pueden acceder a iLO a través de un panel de administración basado en la web que se sirve a través del puerto de red dedicado de BMC o mediante herramientas que se comunican con BMC a través del protocolo de interfaz de administración de plataforma inteligente (IPMI) estandarizado. Los administradores pueden usar iLO para encender y apagar el servidor, ajustar varias configuraciones de hardware y firmware, acceder a la consola del sistema, reinstalar el sistema operativo principal adjuntando una imagen de CD/DVD de forma remota, monitorear sensores de hardware y software e incluso implementar actualizaciones de BIOS/UEFI.

Se sospecha que el implante iLOBleed es la creación de un grupo de amenazas persistentes avanzadas (APT) y se ha utilizado desde al menos 2020. Se cree que explota vulnerabilidades conocidas como CVE-2018-7078 y CVE-2018-7113 para inyectar nuevos módulos maliciosos en el firmware de iLO que agregan funcionalidad de borrado de disco.

Una vez instalado, el rootkit también bloquea los intentos de actualizar el firmware e informa que la versión más nueva se instaló correctamente para engañar a los administradores. Sin embargo, hay formas de saber que el firmware no se actualizó. Por ejemplo, la pantalla de inicio de sesión en la última versión disponible debería verse ligeramente diferente. Si no es así, significa que se impidió la actualización, incluso si el firmware informa la última versión.

También vale la pena señalar que es posible infectar el firmware de iLO si un atacante obtiene privilegios de raíz (administrador) en el sistema operativo host, ya que esto permite actualizar el firmware. Si el firmware de iLO del servidor no tiene vulnerabilidades conocidas, es posible degradar el firmware a una versión vulnerable. En Gen10, es posible evitar ataques de degradación habilitando una configuración de firmware, pero esto no está activado de forma predeterminada y no es posible en generaciones anteriores.

"Los atacantes pueden abusar de estas capacidades (BMC) de varias maneras", según explican los investigadores de Eclypsium. "iLOBleed ha demostrado la capacidad de usar el BMC para borrar los discos de un servidor. El atacante podría robar datos, instalar cargas útiles adicionales, controlar el servidor de cualquier forma o desactivarlo por completo. También es importante tener en cuenta que comprometer los servidores físicos puede poner en riesgo no solo las cargas de trabajo, sino también nubes enteras".

 

Ataques anteriores de BMC

En 2016, investigadores de Microsoft documentaron las actividades de un grupo APT denominado PLATINUM que utilizó la tecnología de administración activa (AMT) Serial-over-LAN (SOL) de Intel para configurar un canal de comunicación encubierto para transferir archivos. AMT es un componente de Intel Management Engine (Intel ME), una solución similar a BMC que existe en la mayoría de las CPU de escritorio y servidor de Intel. La mayoría de los firewalls y las herramientas de monitoreo de red no están configurados para inspeccionar el tráfico AMT SOL o IPMI en general, lo que permite a los atacantes como PLATINUM evadir la detección.

En 2018, BleepingComputer informó de la existencia de ataques contra servidores Linux con un programa de ransomware llamado JungleSec que, según los informes de las víctimas, se implementó a través de interfaces IPMI inseguras utilizando las credenciales predeterminadas del fabricante.

En 2020, un investigador de seguridad mostró cómo podía aprovechar las interfaces BMC inseguras en la nube Openstack de una organización para hacerse cargo de los servidores virtualizados durante un compromiso de prueba de penetración.

"iLOBleed proporciona un estudio de caso increíblemente claro, no solo sobre la importancia de la seguridad del firmware en los BMC, sino también sobre la seguridad del firmware en general", tal y como han comprobado los investigadores de Eclypsium. "Muchas organizaciones hoy en día han adoptado conceptos como la confianza cero (Zero Trust), que define la necesidad de evaluar y verificar de forma independiente la seguridad de cada activo y acción. Sin embargo, en la mayoría de los casos, estas ideas no han llegado al código más fundamental de un dispositivo".

 

Mitigación de ataques BMC

La práctica de seguridad estándar para las interfaces de IPMI, ya sean integradas o añadidas a través de tarjetas de expansión, es no exponerlas directamente a Internet ni a la red corporativa principal. Los BMC deben colocarse en su propio segmento de red aislado que está destinado a fines de administración. El acceso a este segmento se puede restringir mediante el uso de VLAN, firewalls, VPN y otras tecnologías de seguridad similares.

Las organizaciones deben verificar periódicamente con los fabricantes de sus servidores las actualizaciones del firmware de BMC y, en general, realizar un seguimiento de los CVE descubiertos en el firmware de todos sus activos críticos. La falta de rastreo de versiones de firmware y escaneo de vulnerabilidades crea un gran punto ciego en las redes corporativas, y los rootkits de bajo nivel como iLOBleed pueden proporcionar a los atacantes un punto de apoyo altamente persistente y poderoso dentro de los entornos.

Si el firmware de BMC ofrece la opción de bloquear la implementación de versiones de firmware anteriores (reversiones), como en el caso de los servidores HPE Gen10/iLO5, esta opción debe estar activada. También se deben habilitar otras funciones de seguridad del firmware, como la verificación de firma digital.

Las credenciales administrativas predeterminadas para las interfaces de BMC y los paneles de administración deben cambiarse y las funciones de seguridad, como el cifrado de tráfico y la autenticación, siempre deben estar habilitadas.

Finalmente, muchos BMC tienen capacidades de registro que permiten monitorizar y registrar los cambios en los servidores a través de especificaciones como Redfish y otras interfaces XML. Estos registros deben auditarse periódicamente para detectar cambios no autorizados.

 



TE PUEDE INTERESAR...

LEGISLACIÓN

Luz verde a NIS2

Revistas Digitales

DealerWorld Digital

IDG Research

Registro:

Eventos:

 

Partnerzones