Sikkerhedsteam diskuterede svaghed i bare metal-tjenester

Bagdøren åben. Aldrig et godt tegn i et computersikkerhedsmiljø. Forskere, der stikker rundt, vil helt sikkert kalde deres opdagelser i et tilfælde som den seneste, hvor cloud -servere så ud som om de kunne blive kompromitteret.

Beaverton, Oregon-baserede sikkerhedsvagter Eclypsium havde undersøgt, hvordan malware kunne injiceres i bare metal cloud-servere. Bedriften var et BMC -hack.

Hvad er BMC'er? Dan Goodin ind Ars Technica sagde, at disse er "bundkort-tilknyttede mikrokontrollere, der giver ekstraordinær kontrol over servere inde i datacentre."

BMC står for Baseboard Management Controller. Her er IBM's definition. "Baseboard Management Controller (BMC) er en tredjepartskomponent designet til at muliggøre fjernstyring af en server til indledende klargøring, geninstallation af operativsystemet og fejlfinding. Som en del af IBM Clouds Bare Metal Server -tilbud, klienter har adgang til BMC. "

Alex Bazhaniuk på Eclypsium -stedet havde advaret om mulige BMC -problemer før Eclypsiums seneste rapport. Tilbage i august, han påpegede, at "BMC er blevet et særligt varmt undersøgelsesområde for sikkerhedsforskere."

Selvom BMC'er muligvis tjener et kritisk behov for datacentre, de udgør også en risiko.

Som Goodin fandt, advarsler om BMC'er og mulige sikkerhedssvagheder kan spores yderligere tilbage, som i 2013, da forskere advarede om, at BMC'er, der var forudinstalleret i servere fra nogle store mærkevareproducenter, var dårligt sikret. På tur, angribere kan muligvis have "en smidig og bekvem måde at overtage hele flåder af servere inde i datacentre."

I de seneste fund, forskerne leverede en detaljeret blog, der undersøgte sikkerhedsimplikationer for bare metal og generelle cloud-tjenester. Denne blog indeholdt også rådgivning om bedste praksis til cloudtjenestekunder og tjenesteudbydere.

I en "bare metal" sky -model, BMC -sårbarheder kan undergrave denne model ved at lade en kunde forlade en bagdør, der forbliver aktiv, når serveren er blevet tildelt igen, sagde Goodin.

På den samme note, BleepingComputer 's Sergiu Gatlan skrev, at "bare metalservere kan blive kompromitteret af potentielle angribere, der kan tilføje ondsindede bagdøre og kode i firmwaren på en server eller i dens baseboard management controller (BMC) med minimale færdigheder."

Så, disse "klientoverførsler" er, hvor problemer kan dukke op.

I BleepingComputer , Gatlan opsummerede opdagelsen af ​​Eclypsium, hvor "angribere kan implantere ondsindede bagdøre inden for firmwaren i cloudtjenesternes fælles infrastruktur, med disse implantater i stand til at overleve, efter at skytjenesteudbyderen distribuerer serveren til en anden kunde. "

Han sagde, at sårbarheden tillader angribere at implantere bagdørsimplantater i firmwaren eller BMC på bare metalservere, der overlever klientoverførsel i bare metal og generelle skytjenester.

Med kunden åben for angreb, scenarierne kan variere fra datatyveri, til tjenestenekt, til ransomware.

Når sikkerhedshunde gøer, imens, IBM lytter. Og hvis barkene fortjener ikke kun opmærksomhed, men handling, så svarer de. På mandag, IBM sagde, at den anerkendte sårbarheden. "På nogle systemmodeller, der tilbydes af IBM Cloud og andre cloud -udbydere, "sagde blogindlægget, "en ondsindet angriber med adgang til det tilvejebragte system kunne overskrive BMC's firmware." Systemet kunne returneres til hardware -puljen. Den kompromitterede BMC -firmware kan bruges til at angribe den næste bruger af systemet.

Man kunne ikke undgå at bemærke, at IBM beskrev problemet som "lav sværhedsgrad". Trods alt, "BMC har begrænset processorkraft og hukommelse, hvilket gør denne type angreb svære, "sagde IBM. Desuden, virksomheden sagde, at de ikke fandt nogen tegn på en udnyttelse via denne sårbarhed til ondsindede formål.

Hvad, derefter, handling foreslog IBM?

"IBM har reageret på denne sårbarhed ved at tvinge alle BMC'er, herunder dem, der allerede rapporterer opdateret firmware, at blive omskyllet med fabriks-firmware, før de genleveres til andre kunder. Alle logfiler i BMC -firmwaren slettes, og alle adgangskoder til BMC -firmwaren genoprettes. "

Computer Business Review :"Bare metal refererer til en udelukkende leaset server i et clouddatacenter, frem for Infrastructure-as-a-Service (IaaS), der involverer VM'er, der bruger fysiske servere til flere cloud-klienter. "

Som Eclypsium bemærkede, de fleste standard IaaS -servicemuligheder vil have flere kunder til at dele ressourcerne på en underliggende fysisk server, og nogle kunder vil have høje krav til ydeevne til deres applikationer eller have følsomme data, som de ikke ønsker at have gemt på en delt maskine.

"Til disse applikationer af høj værdi, cloud-tjenesteudbydere tilbyder bare-metal cloud-muligheder, hvor kunderne køber adgang til dedikerede, fysiske servere, de kan bruge på enhver måde, de finder passende. Der er ingen grund til at bekymre sig om køb og understøttelse af hardware-de kan vokse efter behov efter behov. "

Som med alle cloud -tjenester, når en kunde er færdig ved hjælp af en bare-metal server, hardware genvindes af tjenesteudbyderen og genanvendes til en anden kunde.

Gatlans afskedsråd:"Selvom cloud metal -tilbud er meget bekvemt for organisationer, der ikke ønsker at investere i deres egen hardware, sikkerhedsproblemer som den, Eclypsium-forskerholdet opdagede, kan overbevise dem om at skifte til hardware, som de ejer og administrere på stedet for at undgå at få adgang til eller ændre følsomme data, såvel som kritiske apps deaktiveret. "

© 2019 Science X Network