Llegamos a ustedes gracias a:



Alertas de Seguridad

Miles de servidores empresariales utilizan BMCs vulnerables

Según los investigadores

[17/01/2022] Tener la capacidad de gestionar y supervisar remotamente los servidores, incluso cuando su sistema operativo principal no responde, es vital para los administradores de TI de las empresas. Todos los fabricantes de servidores proporcionan esta funcionalidad en el firmware a través de un conjunto de chips que funcionan de forma independiente al resto del servidor y del sistema operativo. Se conocen como controladores de gestión de la placa base (BMC) y, si no están bien protegidos, pueden abrir la puerta a rootkits muy persistentes y difíciles de detectar.

A lo largo de los años, los investigadores de seguridad han encontrado y demostrado vulnerabilidades en las implementaciones de los BMC de diferentes fabricantes de servidores y los atacantes se han aprovechado de algunas de ellas. Un ejemplo reciente es iLOBleed, un implante de BMC malicioso encontrado en la naturaleza por una empresa de ciberseguridad iraní que se dirige a los servidores Gen8 y Gen9 de Hewlett Packard Enterprise (HPE), pero no es el único ataque de este tipo encontrado en estos años.

Según un análisis de la empresa de seguridad de firmware Eclypsium, 7.799 BMCs de servidores HPE iLO (Integrated Lights-Out de HPE) están expuestos a Internet, y la mayoría no parecen estar ejecutando la última versión del firmware. Cuando se encontraron otras vulnerabilidades en la implementación de BMC de los servidores Supermicro en el 2019, se expusieron más de 47 mil BMC de Supermicro expuestos públicamente de más de 90 países diferentes. Es seguro decir que, en todos los proveedores de servidores, el número de interfaces BMC que pueden ser atacadas desde Internet es de decenas o cientos de miles.

"Las vulnerabilidades de los BMC también son increíblemente comunes y a menudo se pasan por alto cuando se trata de actualizaciones", dijeron los investigadores de Eclypsium en una nueva entrada de blog tras los informes de iLOBleed. "Las vulnerabilidades y los errores de configuración pueden introducirse en una fase temprana de la cadena de suministro, antes de que una organización se haga cargo de un servidor. Los problemas en la cadena de suministro pueden seguir existiendo incluso después del despliegue debido a actualizaciones vulnerables, o si los adversarios son capaces de comprometer el proceso de actualización de un proveedor. En última instancia, esto crea un desafío para las empresas en el que hay muchos sistemas vulnerables, impactos muy altos en el caso de un ataque y adversarios que explotan activamente los dispositivos en la naturaleza".

El implante de iLOBleed

La tecnología iLO de HPE existe en los servidores HPE desde hace más de 15 años. Está implementada como un chip ARM que tiene su propio controlador de red dedicado, memoria RAM y almacenamiento flash. Su firmware incluye un sistema operativo dedicado que se ejecuta independientemente del sistema operativo principal del servidor. Como todos los BMC, HPE iLO es esencialmente una pequeña computadora diseñada para controlar una computadora más grande: el propio servidor.

Los administradores pueden acceder a iLO a través de un panel de administración basado en la web que se sirve a través del puerto de red dedicado del BMC, o a través de herramientas que hablan con el BMC a través del protocolo estandarizado Intelligent Platform Management Interface (IPMI). Los administradores pueden utilizar iLO para encender y apagar el servidor, ajustar diversas configuraciones de hardware y firmware, acceder a la consola del sistema, reinstalar el sistema operativo principal adjuntando una imagen de CD/DVD de forma remota, supervisar los sensores de hardware y software, e incluso implementar actualizaciones de BIOS/UEFI.

Se sospecha que el implante iLOBleed es la creación de un grupo de amenazas persistentes avanzadas (APT) y ha sido utilizado desde al menos el 2020. Se cree que aprovecha vulnerabilidades conocidas como CVE-2018-7078 y CVE-2018-7113 para inyectar nuevos módulos maliciosos en el firmware de iLO que añaden la funcionalidad de borrado de disco.

Una vez instalado, el rootkit también bloquea los intentos de actualizar el firmware, e informa de que la nueva versión se ha instalado con éxito para engañar a los administradores. Sin embargo, hay formas de saber que el firmware no se ha actualizado. Por ejemplo, la pantalla de inicio de sesión en la última versión disponible debería tener un aspecto ligeramente diferente. Si no lo hace, significa que se impidió la actualización, incluso si el firmware informa de la última versión.

También cabe destacar que es posible infectar el firmware de iLO si un atacante obtiene privilegios de root (administrador) en el sistema operativo del host, ya que esto permite flashear el firmware. Si el firmware iLO del servidor no tiene vulnerabilidades conocidas, es posible rebajar el firmware a una versión vulnerable. En Gen10 es posible evitar los ataques de downgrade habilitando un ajuste de firmware, pero esto no está activado por defecto y no es posible en generaciones anteriores.

"Los atacantes pueden abusar de estas capacidades [del BMC] de diversas maneras", dijeron los investigadores de Eclypsium. "iLOBleed ha demostrado la capacidad de utilizar el BMC para borrar los discos de un servidor. El atacante podría igualmente robar datos, instalar cargas útiles adicionales, controlar el servidor de cualquier manera o desactivarlo por completo. También es importante señalar que comprometer los servidores físicos puede poner en riesgo no sólo las cargas de trabajo, sino nubes enteras".

Ataques anteriores de la BMC

En el 2016, investigadores de Microsoft documentaron las actividades de un grupo APT apodado PLATINUM que utilizó la tecnología de gestión activa (AMT) de Intel Serial-over-LAN (SOL) para establecer un canal de comunicación encubierto para transferir archivos. AMT es un componente de Intel Management Engine (Intel ME), una solución similar a un BMC que existe en la mayoría de las CPU de computadoras de escritorio y servidores de Intel. La mayoría de los firewalls y herramientas de monitoreo de red no están configurados para inspeccionar AMT SOL o el tráfico IPMI en general, lo que permite a los atacantes como PLATINUM evadir la detección.

En el 2018, BleepingComputer informó de ataques contra servidores Linux con un programa de ransomware llamado JungleSec que, según los informes de las víctimas, se desplegó a través de interfaces IPMI inseguras utilizando credenciales predeterminadas del fabricante.

En el 2020, un investigador de seguridad mostró cómo podía aprovechar las interfaces BMC inseguras en la nube Openstack de una organización para tomar el control de los servidores virtualizados durante un compromiso de pruebas de penetración.

"iLOBleed proporciona un caso de estudio increíblemente claro no solo sobre la importancia de la seguridad del firmware en los BMC, sino para la seguridad del firmware en general", dijeron los investigadores de Eclypsium. "Hoy en día, muchas organizaciones han adoptado conceptos como la confianza cero, que define la necesidad de evaluar y verificar de forma independiente la seguridad de cada activo y acción. Sin embargo, en la mayoría de los casos, estas ideas no han llegado al código más fundamental de un dispositivo".

Mitigación de los ataques al BMC

La práctica de seguridad estándar para las interfaces IPMI, ya sean integradas o añadidas mediante tarjetas de expansión, es no exponerlas directamente a Internet o incluso a la red corporativa principal. Los BMC deben colocarse en su propio segmento de red aislado, destinado a la gestión. El acceso a este segmento puede restringirse mediante el uso de VLAN, firewalls, VPN y otras tecnologías de seguridad similares.

Las organizaciones deberían comprobar periódicamente con los fabricantes de sus servidores las actualizaciones del firmware del BMC y, en general, hacer un seguimiento de los CVE descubiertos en el firmware de todos sus activos críticos. La falta de seguimiento de la versión del firmware y de exploración de vulnerabilidades crea un gran punto ciego en las redes corporativas y los rootkits de bajo nivel como iLOBleed pueden proporcionar a los atacantes un punto de apoyo muy persistente y poderoso dentro de los entornos.

Si el firmware de BMC ofrece la opción de bloquear el despliegue de versiones de firmware más antiguas -downgrades- como en el caso de los servidores HPE Gen10/iLO5, esta opción debería estar activada. También deben activarse otras funciones de seguridad del firmware, como la verificación de la firma digital.

Las credenciales administrativas por defecto para las interfaces del BMC y los paneles de administración deberían cambiarse y las características de seguridad como el cifrado de tráfico y la autenticación deberían estar siempre activadas.

Por último, muchos BMC tienen capacidades de registro que permiten supervisar y registrar los cambios en los servidores a través de especificaciones como Redfish y otras interfaces XML. Estos registros deberían auditarse periódicamente para detectar cualquier cambio no autorizado.