ИБ-специалисты из компании Eclypsium предупредили, что облачные провайдеры далеко не всегда надежно очищают свои серверы, предоставляя их новому клиенту. Атака Cloudborne, описанная исследователями, позволяет оставить на сервере бэкдор, то есть клиент может столкнуться с самыми разными проблемами, от саботажа работы приложений, то вымогательства и хищения данных.
В исследовании специалистов речь идет о так называемых bare-metal серверах, то есть о «чистых» серверах без ОС и какого-либо другого ПО. В облачной индустрии этим термином обозначают физический сервер, который клиент арендует у компании на какое-то время, получая над ним полный контроль и доступ. Что именно делает с сервером клиент, и для каких нужд тот используется, компанию заботит мало, и когда срок аренды подходит к концу, провайдер полностью очищает сервер и сдает его следующему клиенту.
Аналитики Eclypsium обнаружили, что такая очистка bare-metal сервера может оказаться неполной и на машине можно оставить бэкдор, который способен доставить множество проблем следующим арендаторам.
По словам специалистов, корень проблемы кроется в прошивке BMC (Baseboard Management Controller), в которую экспертам удалось внести изменения. BMC оснащается собственным CPU, системой хранения данных и LAN-интерфейсом, через который удаленный администратор может подключиться и отдать серверу или ПК команду на выполнение определенных операций (изменение настроек ОС, переустановка ОС, обновление драйверов и так далее).
Стоит отметить, что эксперты Eclypsium не впервые находят недочеты, связанные с BMC. К примеру, в прошлом году они рассказывали об уязвимостях BMC на материнских платах Supermicro, а также демонстрировали атаку, которая способна удаленно повредить BMC и UEFI, превратив целевую машину в «кирпич».
Но атакующих редко интересует столь примитивное вредительство, и куда больше злоумышленники заинтересованы, например, в хищении данных. Поэтому эксперты Eclypsim использовали свое знание проблем BMC, чтобы продемонстрировать, что данные недочеты можно эксплуатировать и совсем по-другому.
Сценарий атаки отрабатывался на облачном сервисе IBM SoftLayer, но исследователи подчеркнули, что похожие проблемы демонстрирует множество других облачных провайдеров. Исходно SoftLayer был выбран экспертами из-за удобного доступа к железу и упрощенной логистики, и лишь потом исследователи обнаружили железо Supermicro, что дало им дополнительное преимущество.
В результате проведенных экспериментов исследователям удалось осуществить атаку Cloudborne, подменив прошивку BMC на собственную. Использованная для тестов прошивка содержала лишь один перевернутый бит, но эксперты объясняют, что с тем же успехом она могла содержать любой вредоносный код, бэкдор, настройки портов могли быть изменены, открыв какие-то из них по умолчанию, и так далее.
Кроме того, специалисты заметили, что в ходе очистки сервера логи BMC остаются целы, а также не меняется root-пароль. То есть новый клиент может узнать, чем занимался прошлый владелец сервера, а в руках потенциальных атакующих может остаться root-пароль.
В заключение исследователи рекомендуют облачным провайдерам очищать серверы тщательнее, не лениться перепрошивать BMC, а также использовать уникальные пароли для каждого клиента. Представители IBM уже отреагировали на публикацию специалистов, заверив, что теперь при очистке облачных серверов производится сброс прошивки BMC до заводской, удаляются все логи, и для каждого клиента генерируются новые пароли.