Разделы

Безопасность Пользователю Стратегия безопасности

В популярные сервера Supermicro легко поставить «невидимое» вредоносное ПО, которое почти невозможно удалить

Контроллеры серверов Supermicro позволяли устанавливать как угодно модифицированные обновления прошивки: криптографическая проверка целостности ПО не производилась.

На низком уровне

В интегрированных контроллерах управления, используемых в серверах Supermicro, обнаружилась серьёзная уязвимость, позволявшая злоумышленникам устанавливать на серверы вредоносный код. Удаление этого кода может быть очень сложной, почти невыполнимой задачей.

Причиной возникновения уязвимости стала ошибка программистов: разработчики забыли обеспечить проверку происхождения ПО, которое устанавливается на эти контроллеры.

Интегрированные контроллеры управления (ИКУ) обыкновенно устанавливаются прямо на материнскую плату сервера и используются для управления различными аппаратными компонентами, независимо от хоста и операционной системы, - то есть фактически функционируют на более низком уровне, чем ОС.

С помощью ИКУ можно осуществлять восстановление, модификацию или переустановку системного ПО. Администраторы могут управлять ИКУ через локальную сеть или через выделенный канал. Таким образом, работники ИТ-департамента могут удалённо управлять ключевыми аппаратными функциями серверной системы.

Естественно, это делает ИКУ крайне интересной для хакеров целью.

Отсутствие проверки

Эксперты компании Eclypsium выяснили, что при обновлении программных оболочек ИКУ Supermicro, криптографическая проверка источника устанавливаемого кода не производится.

supermicro600.jpg
В сервера Supermicro можно устанавливать вредоносное ПО, которое почти невозможно удалить

«Мы обнаружили, что код ИКУ, отвечающий за обработку и установку обновлений программной оболочки, не осуществляет проверку криптографической сигнатуры получаемого образа прошивки перед записью обновлению в энергонезависимое запоминающее устройство. Это позволяет злоумышленникам загружать на ИКУ модифицированный код», - отметили эксперты.

Для совершения такой атаки злоумышленник должен либо находиться в одной сети с сервером, либо каким-либо иным образом иметь доступ к этому серверу и контроллеру, так чтобы перехватить образ устанавливаемого обновления. И какие бы модификации в это обновления ни вносились, ИКУ примет и установит их.

Марина Яловега, «Группа Астра»: Соискателям интересны амбициозные ИТ-проекты, значимые для страны
Цифровизация

Вредоносный код, установленный вместе с обновлениями, будет функционировать на уровне ниже ОС и установленного в ней антивируса, что означает, что его будет очень сложно удалить стандартными средствами. В теории это позволяет перехватывать весь трафик, проходящий через систему, или перманентно вывести из строя и ИКУ, и сам сервер. Физический доступ к серверу при этом иметь не нужно, атака может производиться удалённо.

«Ошибки, связанные с недостаточностью проверок, распространены достаточно широко, их можно даже назвать типичными, - считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - В данном случае уязвимость может приводить к крайне серьёзным проблемам для владельцев уязвимого сервера: сценариев применения «невидимого» для ОС вредоносного ПО можно придумать множество, и все они не сулят ничего хорошего».

Eclypsium уведомили Supermicro о наличии проблемы, и разработчик уже реализовал необходимую криптографическую проверку в установщике обновлений на ИКУ.

Публикация Eclypsium с техническими подробностями доступна по ссылке.

Роман Георгиев