Специалисты компании Eclypsium опубликовали proof-of-concept видео, демонстрирующее удаленную атаку, нацеленную на серверы с Baseboard Management Controller (BMC). BMC — это контроллер управления системной платой, который используется для удаленного мониторинга и управления.

Хотя атака специалистов требует, чтобы злоумышленник уже имел доступ к серверу-жертве, исследователи уверяют, что это не проблема, ведь сейчас практически в любом ПО есть хотя бы одна RCE-уязвимость, а повторное использование паролей, учетные данные по умолчанию и утечки – это наша повседневная реальность.

Получив доступ к системе, исследователи Eclypsium использовали интерфейс Keyboard Controller Style (KCS) для взаимодействия с BMC. KCS – это один из многих инструментов из состава Intelligent Platform Management Interface (IPMI), который часто можно обнаружить на серверах и рабочих станциях в сетях разных компаний. Кстати, US-CERT предупреждал о возможных рисках, связанных с использованием IPMI, еще в 2013 году, и найти в сети гайды для пентестеров совсем несложно.

KCS действует по принципу host-to-BMC и технически имитирует клавиатуру, чтобы администратор мог передавать команды BMC с локальной машины, и в основном такой подход используется для дебаггинга. Авторы видео подчеркивают, что для взаимодействия с KCS и передачи BMC вредоносной прошивки не требуется никакой дополнительной аутентификации или учетных данных, то есть любой злоумышленник, получивший доступ к серверу, также получает и «прямую линию» с его внутренностями.

 

«В нашей демонстрации были использованы обычные инструменты для обновления, с помощью которых мы передали BMC образ вредоносной прошивки через данный интерфейс, — объясняют специалисты. — Вредоносное обновление прошивки BMC содержит код, после исполнения которого будут стерты UEFI и критически важные компоненты прошивки самого BMC».

Фактически после такой атаки устройство превратится в «кирпич», так как все попытки запуска или восстановления системы ни к чему не приведут. Специалисты Eclypsium полагают, что атака имеет почти перманентные последствия и сравнивают ее с вайперами и другой деструктивной малварью. Шансы на восстановление работоспособности появляются лишь в том случае, если системный администратор докопается до сути проблемы и сумеет понять, что именно произошло. Однако даже тогда для восстановления работоспособности всё равно потребуется физический доступ к пострадавшему серверу (для загрузки новой прошивки), а это возможно далеко не всегда.

По мнению специалистов Eclypsium, главными целями для подобных атак могут стать компании и организации, чьими основными «активами» являются их дата-центры и облачные приложения. Показанная в ролике атака применима и к тому и к другому, и ее последствия могут быть просто катастрофическими.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии