В популярные сервера Supermicro легко поставить «невидимое» вредоносное ПО, которое почти невозможно удалить

Этот пост был первоначально опубликован на этот сайт

РБК-CNEWS

На низком уровне

В интегрированных контроллерах управления, используемых в серверах Supermicro, обнаружилась серьёзная уязвимость, позволявшая злоумышленникам устанавливать на серверы вредоносный код. Удаление этого кода может быть очень сложной, почти невыполнимой задачей.

Причиной возникновения уязвимости стала ошибка программистов: разработчики забыли обеспечить проверку происхождения ПО, которое устанавливается на эти контроллеры.

Интегрированные контроллеры управления (ИКУ) обыкновенно устанавливаются прямо на материнскую плату сервера и используются для управления различными аппаратными компонентами, независимо от хоста и операционной системы, — то есть фактически функционируют на более низком уровне, чем ОС.

С помощью ИКУ можно осуществлять восстановление, модификацию или переустановку системного ПО. Администраторы могут управлять ИКУ через локальную сеть или через выделенный канал. Таким образом, работники ИТ-департамента могут удалённо управлять ключевыми аппаратными функциями серверной системы.

Естественно, это делает ИКУ крайне интересной для хакеров целью.

Отсутствие проверки

Эксперты компании Eclypsium выяснили, что при обновлении программных оболочек ИКУ Supermicro, криптографическая проверка источника устанавливаемого кода не производится.

В сервера Supermicro можно устанавливать вредоносное ПО, которое почти невозможно удалить

«Мы обнаружили, что код ИКУ, отвечающий за обработку и установку обновлений программной оболочки, не осуществляет проверку криптографической сигнатуры получаемого образа прошивки перед записью обновлению в энергонезависимое запоминающее устройство. Это позволяет злоумышленникам загружать на ИКУ модифицированный код», — отметили эксперты.

Для совершения такой атаки злоумышленник должен либо находиться в одной сети с сервером, либо каким-либо иным образом иметь доступ к этому серверу и контроллеру, так чтобы перехватить образ устанавливаемого обновления. И какие бы модификации в это обновления ни вносились, ИКУ примет и установит их.

Вредоносный код, установленный вместе с обновлениями, будет функционировать на уровне ниже ОС и установленного в ней антивируса, что означает, что его будет очень сложно удалить стандартными средствами. В теории это позволяет перехватывать весь трафик, проходящий через систему, или перманентно вывести из строя и ИКУ, и сам сервер. Физический доступ к серверу при этом иметь не нужно, атака может производиться удалённо.

подробнее на {{ original_post_url}}