Una nueva vulnerabilidad llamada Cloudborne puede permitir a los atacantes implantar implantes de puerta trasera en el firmware o BMC de los servidores de metal que sobreviven a la reasignación de clientes en servicios de nube abierta y servicios generales en la nube, lo que lleva a una variedad de escenarios de ataque.
Las organizaciones que implementan aplicaciones críticas de alto valor en servidores de metal a través de las ofertas de Infraestructura como Servicio (IaaS) consideran que es la mejor alternativa para comprar su propio hardware, ya que esto permite un escalamiento fácil y rápido de aplicaciones basadas en la nube sin la necesidad de compartir el hardware. con otros usuarios.
Si bien esto generalmente significa que las aplicaciones críticas de una organización siempre se ejecutan en servidores dedicados, el hecho de que esos servidores se recuperan y se vuelven a asignar una vez que el cliente ya no los necesita, los expone a las debilidades y vulnerabilidades del firmware que pueden persistir entre las asignaciones de los clientes.
Los atacantes pueden implantar puertas traseras persistentes.
Como lo descubrió el equipo de investigación de Eclypsium, los atacantes pueden implantar puertas traseras maliciosas dentro del firmware de la infraestructura compartida de los servicios en la nube, y estos implantes pueden sobrevivir después de que el proveedor de servicios en la nube distribuye el servidor a otro cliente.
A pesar de que el hardware está dedicado a un solo cliente en un momento dado en el tiempo, podrían estar utilizando fácilmente hardware de segunda, tercera o no mano. [...] En una oferta de servicios de nube completa, el hardware subyacente podría pasar fácilmente a través de docenas de "propietarios" con acceso directo y control sobre ese hardware.
Más exactamente, los servidores simples pueden verse comprometidos por posibles atacantes que podrían agregar puertas traseras maliciosas y codificar en el firmware de un servidor o en su controlador de administración de placa base (BMC) con habilidades mínimas.
"El Controlador de administración de la placa base (BMC) es un componente de terceros diseñado para permitir la administración remota de un servidor para el aprovisionamiento inicial, la reinstalación del sistema operativo y la solución de problemas", dice IBM.
Una vez que este tipo de implante de puerta trasera se coloque con éxito en un servidor completo, sobrevivirá entre los cambios de cliente realizados por el proveedor.
Según lo detallado por Eclypsium, "La eliminación real de un implante malicioso podría requerir que el proveedor del servicio se conecte físicamente a los chips para volver a actualizar el firmware, lo que es muy poco práctico a escala".
Múltiples escenarios de ataque.
Al explotar esta vulnerabilidad, apodados Cloudborne, los posibles atacantes pueden pasar por varios escenarios de ataque:
- Realizar un ataque permanente de denegación de servicio (PDoS) o simplemente arrinconar al servidor sin protección comprometido
- Robar o interceptar datos de la aplicación que se ejecuta en el servicio en la nube
- Ejecutar un tipo de ataque de ransomware dañando los datos en el servidor sin soporte o deshabilitando la aplicación
Es importante mencionar que, mientras que un escenario de ataque de Cloudborne se probó en los servicios de nube de IBM SoftLayer, el problema de los implantes de puerta trasera que sobreviven al proceso de recuperación encontrado por Eclypsium también está presente en la infraestructura de todos los demás proveedores de nube.
Clasificación de severidad diferente de IBM y Eclypsium
IBM publicó detalles sobre la vulnerabilidad el 25 de febrero indicando que: En algunos modelos de sistema ofrecidos por IBM Cloud y otros proveedores de nube, un atacante malicioso con acceso al sistema provisto podría sobrescribir el firmware del BMC. El sistema podría luego devolverse al grupo de hardware, donde el firmware del BMC comprometido podría usarse para atacar al siguiente usuario del sistema.
El BMC tiene capacidad de procesamiento y memoria limitadas, lo que dificulta este tipo de ataques. IBM no ha encontrado indicios de que esta vulnerabilidad haya sido explotada con fines maliciosos. Además, todos los clientes de IBM Cloud reciben una red privada para sus BMC, por separado de las redes privadas que contienen los BMC de otros clientes y los BMC sin aprovisionar.
Como posibles soluciones o soluciones para este problema de seguridad que el proveedor asignó a una gravedad baja, IBM dijo que forzó a "todos los BMC, incluidos aquellos que ya están reportando firmware actualizado, a volver a actualizar con el firmware de fábrica antes de "Reaprovisionamiento a otros clientes. Todos los registros en el firmware del BMC se borran y todas las contraseñas del firmware del BMC se regeneran".
Sin embargo, después de la publicación de IBM que describe la vulnerabilidad y las medidas de remediación que tomó contra ella, "un investigador de Eclypsium pudo confirmar rápidamente que recibió el mismo sistema en el que trabajó antes (el 16 de febrero) y no hubo indicios de que La contraseña o el firmware se han cambiado desde la última vez que lo usó. El investigador está realizando más pruebas ".
Luego de la publicación de IBM de la vulnerabilidad que reside en su Firmware del controlador de administración de la placa base (BMC), Eclypsium también argumenta que la gravedad baja no es adecuada, ya que "la clasificarían como Severidad 9.3 (crítica) con los siguientes detalles: CVSS: 3.0 / AV: L / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H "dada su capacidad de alto impacto crítico para la seguridad.
Además, Eclypsium explica que: Si bien las especificaciones de hardware del hardware de BMC son bajas en comparación con el servidor host, la capacidad de impacto crítico para la seguridad es alta. Por diseño, el BMC está destinado a administrar el sistema host y, como tal, tiene más privilegios que el host. El BMC tiene acceso continuo a los archivos, la memoria (usando DMA), el teclado / video y el firmware del host (que se requiere porque necesita la capacidad de reinstalarlo / reconfigurarlo).
Otros proveedores de nube aún no presentes en la discusión
A pesar de que IBM y Eclypsium ya están participando en conversaciones sobre el nivel de gravedad de esta vulnerabilidad, otros proveedores de la nube aún tienen que participar en una discusión que podría durar un tiempo, considerando las implicaciones de dichos problemas de seguridad a largo plazo y, aparentemente, Muy difícil de implementar correcciones.
El equipo de investigación de Eclypsium concluyó : "Dado que el firmware subyace incluso al sistema operativo host y las capas de virtualización de un servidor, cualquier implante, naturalmente, podrá subvertir cualquier control y medidas de seguridad que se ejecuten en estas capas superiores. [..] Dada la naturaleza y los datos alojado en las ofertas de metal, esto abre la posibilidad de escenarios de ataque de alto impacto ".
Al ver que el BMC también se puede comunicar y enviar datos a redes externas, al tener la posibilidad de reconfigurar la interfaz de red del host, los atacantes potenciales cuentan con todas las herramientas que necesitan para controlar de forma subrepticia un sistema comprometido utilizando uno de los escenarios de ataque. Detallado por eclypsium.
Si bien las ofertas de nubes de metal son muy convenientes para las organizaciones que no desean invertir en su propio hardware, las preocupaciones de seguridad como la que descubrió el equipo de investigación de Eclypsium podrían convencerlos de cambiar al hardware que poseen y administrar en el sitio para evitar tener Los datos confidenciales accedidos o modificados, así como las aplicaciones críticas desactivadas.
Fecha actualización el 2021-02-26. Fecha publicación el 2019-02-26. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer