BMC 攻击让服务器远程变砖

聚焦源代码安全，网罗国内外最新资讯！

编译：

360代码卫士团队

安全研究人员发现了损坏通常出现在服务器中的关键组件固件的方法，它可导致系统变成无法启动的硬件组件。恢复要求进行物理干预替换恶意固件。

这个效果是通过常规工具实现的，而这些工具用于使基板管理控制器(BMC)处于最新版本状态。

BMC是内嵌在所有服务器主板上的专门微控制器（更像是独立的微型计算机），它们也存在于高端交换机、JBOD（磁盘簇）和JBOF（闪存簇）类型的存储系统中。

管理员可通过BMC获取系统健康信息，还能用于远程管理。BMC能够配置服务器并重装操作系统以及更新主机系统固件。

破坏性攻击的下一个阶段

虽然可从远程位置部署恶意的BMC更新，但破坏性的一步代表着攻击的最后一个阶段，因此需要对目标获得初始访问权限。

固件和硬件安全公司Ecypsium的研究人员使用基于主机的界面键盘控制器方式(KCS)将恶意固件图像传递给计算机的BMC。KCS是智能平台管理接口(IPMI)标准的一部分，此前就被曝存在严重的安全风险。2013年，US-CERT曾发布关于IPMI风险的警报信息以及渗透测试人员可轻易获取的指南。

研究人员表示，认证或凭证并非更新定制版本BMC固件的必要条件。他们在视频中表示，以恶意固件更新BMC导致服务器不稳定，“这个恶意BMC固件更新中包含额外代码，一旦被触发，将擦除UEFI系统固件和BMC固件本身的关键组件”。主机修改后，由于无法重启，因此BMC阻止系统恢复操作。

出于安全考虑，BMC被通过网络隔离的方式保护，但如果主机受到直接攻击，这种预防措施是无效的。攻击者可通过侦察阶段之后形成持久攻击的方式实施攻击。更先进的攻击者还可通过投毒供应跳过攻陷的第一步。

研究人员指出，这种攻击“可被轻易安排在某个具体时间实施”。它们可被当做恶意软件、固件或组件中的杀死开关功能实现。

服务器恢复正常的耗时长

遭受固件级别攻击的受害者使服务器恢复正常的方法很少，等所有一切都恢复正常时，所造成的损失可能会对业务的未来发展产生永久影响。

替换损坏的固件要求具备特殊工具和知识。BMC被损坏的每台服务器必须和芯片取得物理连接并将固件更新至非恶意版本。例如，去年遭受NotPetya攻击后，Maersk集装箱航运公司不得不重装了4000多台服务器、4.5万台计算机和2500款应用程序。尽管该公司只是一个间接受害者，但所承担的损失就达到2.5亿至3亿美元之间。

从数据擦除攻击的恢复速度更快

旨在破坏目标活动的破坏性攻击并不新鲜，至少始于2012年，而最新的此类攻击活动是发生在本月的Shamoon活动。恶意软件如NotPetya、Shamoon、Destover和StoneDrill都对擦除受害者主机上的数据从而造成损害的做法非常感兴趣。

不过，如果遵守了正确的备份策略且基础设施到位，那么受害者就能从攻击中恢复并将金融损失降到最低。

研究人员在演示视频中指出，固件级别的攻击要更加危险，而且无需物理访问权限。数据中心和云应用程序是潜在的目标；但将它们下线，即使仅短暂下线，也会对企业造成重大影响。

https://www.bleepingcomputer.com/news/security/remote-firmware-attack-renders-servers-unbootable/