Прошивка арендованных серверов может содержать шпионское ПО
Злоумышленники могут арендовать сервер и внедрить в его прошивку шпионское ПО, которое не будет удалено провайдером.
Облачные провайдеры, сдающие свои физические серверы в аренду, должны тщательно следить за тем, чтобы между их развертываниями записываемая память была полностью очищена. Злоумышленники, ранее арендовавшие серверы, могут оставлять в флэш-памяти на материнской плате вредоносное ПО, активизирующееся после того, как сервер был сдан в аренду следующему клиенту. Исследователи компании Eclypsium продемонстрировали на примере принадлежащего IBM поставщика выделенных серверов SoftLayer, как предоставление клиентам прав суперпользователя на арендованном оборудовании может поставить следующих арендаторов под угрозу кибератак на уровне прошивки.
По словам исследователей, злоумышленники могут арендовать физический сервер, проэксплуатировать уязвимость в его прошивке (например, в кодах UEFI или BMC) и, обеспечив себе постоянное присутствие на сервере, тайно следить за его использованием следующими арендаторами. Другими словами, атакующие могут внедрить в прошивку сервера шпионское ПО, работающее незаметно для операционной системы и антивирусных решений.
В идеале перед тем, как сдавать сервер следующим арендаторам, провайдер должен полностью очистить память и сбросить все настройки прошивки. Тем не менее, вышеописанные атаки вполне реальны.
В ходе исследования специалисты Eclypsium арендовали сервер у SoftLayer и внесли некоторые изменения в уязвимую прошивку Supermicro BMC. Затем исследователи вернули сервер провайдеру и снова арендовали его от имени другого пользователя, для того чтобы посмотреть, сохранились ли внесенные ими изменения. Как оказалось, все изменения сохранились. То есть, после того, как провайдер получил свой сервер обратно от предыдущего арендатора, очистил его и сдал внаем другому арендатору, настройки прошивки не были сброшены.
Исследователи уведомили IBM о проблеме в сентябре прошлого года, но не получали от компании никаких сообщений с декабря. На этой неделе Eclypsium собралась опубликовать свое исследование в открытом доступе, и за день до этого IBM сообщила об исправлении уязвимости.