Hackers podem roubar servidores em nuvem bare-metal corrompendo seu firmware BMC

Os hackers podem corromper o firmware dos servidores em nuvem bare-metal e recuperar o acesso aos servidores depois de serem liberados e reatribuídos a outros clientes, revela um relatório publicado ontem.

Servidor bare-metal é um termo usado no setor de serviços em nuvem para descrever um servidor físico (hardware) que é alugado para apenas um cliente por vez.

O cliente aluga um servidor bare-metal ao qual tem acesso total e completo. Eles podem fazer as modificações que quiserem e usar os servidores para várias finalidades sem temer que a máquina possa ser secretamente compartilhada com outros clientes ao mesmo tempo – como é o caso da maioria das soluções de hospedagem em nuvem baseadas em virtualização atuais.

A ideia é que, quando um cliente termina de usar o servidor, ele o libera para a empresa de nuvem, e o provedor limpará o software do servidor e todos os dados do cliente e, posteriormente, disponibilizará a outros clientes.

Mas, em um experimento realizado pela empresa de segurança de hardware Eclypsium, os pesquisadores de segurança da empresa descobriram que os provedores de serviços em nuvem podem estar falhando quando se trata de limpar adequadamente os servidores bare-metal.

A equipe da Eclypsium diz que foi capaz de fazer modificações no firmware do servidor BMC, que, segundo eles, um invasor pode obter acesso ao servidor mesmo depois que ele foi apagado e reatribuído para outro cliente.

BMC é um componente de computador / servidor que contém sua própria CPU, sistema de armazenamento e interface LAN que permite a um administrador remoto se conectar ou enviar instruções ao PC / servidor para executar várias operações, como modificar Configurações do sistema operacional, reinstalar o sistema operacional ou atualização de drivers.

A equipe do Eclypsium tem um histórico de localização e exploração de falhas no firmware do BMC. No ano passado, pesquisadores descobriram vulnerabilidades no firmware da BMC de placas-mãe Super Micro .

Eles também mostraram em um experimento como eles foram capazes de abusar dessas falhas para bloquear um servidor , alterando seu firmware BMC para destruir o firmware UEFI mais importante do servidor, tornando o servidor inútil.

Mas os agentes de ameaças raramente bloqueiam servidores. Eles geralmente estão mais interessados ​​em roubo de dados. Para seu último experimento, os pesquisadores da Eclypsim usaram seu conhecimento da falha do firmware do Super Micro BMC para mostrar como um invasor poderia abusar dessa vulnerabilidade de uma maneira mais perigosa – redes de empresas inovadoras e depois roubar dados.

“Testamos esse cenário em relação aos serviços em nuvem da SoftLayer da IBM”, disse a equipe de pesquisa. “Os problemas que testamos no experimento são comuns a muitos provedores de nuvem e não devem ser considerados limitados ao IBM SoftLayer.”

“Originalmente escolhemos a SoftLayer para o nosso ambiente de testes por causa de sua logística simplificada e acesso ao hardware, mas notamos que a SoftLayer estava usando hardware de servidor SuperMicro que, baseado em nossas pesquisas anteriores, sabíamos ser vulneráveis”, disse Eclypsium. “Deve-se notar que o SoftLayer usa outros fornecedores de hardware, além do SuperMicro, e os dispositivos SuperMicro são usados ​​por muitos outros provedores de serviços.”

Seu teste, que eles chamaram de Cloudborne , foi bem-sucedido, com a equipe de pesquisa conseguindo atualizar o firmware BMC de um servidor bare-metal alugado com um que eles tinham preparado antecipadamente.

O firmware do BMC Eclypsium carregado continha apenas um único bit flip, para que eles pudessem reconhecê-lo mais tarde, mas qualquer código malicioso poderia ter sido compactado no firmware do BMC, como contas backdoor, configurações de porta alteradas para abrir por padrão , e outros.

Além disso, eles também encontraram outros problemas de segurança que poderiam ter sido explorados pelos invasores, mesmo que eles não tivessem as habilidades necessárias para alterar o firmware do BMC.

“Também notamos que os logs da BMC foram retidos em todo o provisionamento e a senha da raiz da BMC permaneceu a mesma em todo o provisionamento”, disse a equipe. “Ao não excluir os logs, um novo cliente pode obter insights sobre as ações e comportamentos do proprietário anterior do dispositivo, enquanto conhecer a senha de raiz do BMC pode permitir que um invasor ganhe mais facilmente o controle sobre a máquina no futuro”.

Os problemas descritos pela equipe do Eclypsium mostram um novo tipo de superfície de ataque que os provedores de nuvem com servidores bare-metal não conheciam. Os pesquisadores do Eclypsium recomendam que a limpeza de operações de servidor bare-metal também envolva o reflash do firmware do BMC e o uso de senhas de raiz exclusivas do BMC por cliente.

A IBM parece estar aceitando o conselho de Eclypsium, pelo menos na superfície. Em um post no blog no dia 25, a empresa informou que configurou seu serviço de nuvem para atualizar todas as configurações de fábrica do firmware do BMC e apagar todos os registros e gerar novas senhas para cada cliente. O único problema da Eclypsium com a resposta da IBM foi que o provedor de serviços em nuvem classificou o problema como “Baixa Gravidade”, enquanto o Eclypsium o considerou como um problema de “Gravidade Crítica” com uma pontuação de severidade de 9,3 de 10.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.