Эксперты показали, как с помощью уязвимостей в BMC-контроллерах можно удаленно вызвать сбой в работе серверов в дата-центрах.
Атаки на прошивки представляют серьезную угрозу безопасности, поскольку с их помощью злоумышленники могут получить полный контроль над целевой системой. Подобные типы атак часто требуют наличие физического доступа к атакуемому устройству, поэтому практически не приводят к масштабным проблемам, как, например, вымогательское ПО. Однако специалисты компании Eclypsium продемонстрировали новый метод, предполагающий использование BMC-контроллеров для удаленного вывода из строя серверов. При этом восстановление их работы потребует от организаций значительных усилий и финансовых затрат.
BMC-контроллер (Baseboard Management Controller) обычно встраивается в материнскую плату сервера и используется для управления компонентами аппаратного обеспечения независимо от хоста и гостевой операционной системы. Контроллер также позволяет удаленно перезагрузить устройство, обновить прошивку, проводить мониторинг параметров системы, исправить, модифицировать или переустановить системное програмное обеспечение. BMC полезны не только для администраторов, но и для злоумышленников, которые могут использовать уязвимости в контроллерах для внедрения и запуска вредоносного кода, причем он сможет «пережить» переустановку операционной системы и полную очистку жесткого диска.
В новом эксперименте специалисты показали, как с помощью уязвимостей в BMC-контроллерах злоумышленники могут удаленно вызвать сбой в работе серверов в дата-центрах. Для этого атакующему потребуется получить удаленный доступ к целевой системе (с помощью украденных учетных данных или эксплуатации багов в программном обеспечении), а затем, используя легитимные инструменты обновления BMC, установить вредоносную прошивку, которая выведет сервер из строя.
Вредоносная прошивка, пояснили исследователи, содержит дополнительный код, который, запустившись, удалит прошивку UEFI и критические компоненты прошивки самого BMC-контроллера. В результате все попытки перезагрузить или восстановить систему окажутся безуспешными. Кроме того, можно установить определенное время запуска кода, что позволит атакующим нарушить работу всего дата-центра.
После подобной атаки пострадавшие серверы возможно восстановить, однако это займет время и потребует высокого уровня технических навыков, предупреждают эксперты.
