На днях специалистами по информационной безопасности был продемонстрирован эксплойт, при помощи которого можно вывести из строя компьютеры, оснащенные микроконтроллером BMC (Baseboard Management Controller).
По мнению экспертов, этот компонент, широко используемый в серверных платформах, уязвим для удаленной атаки. Как выяснили исследователи, злоумышленники могут перезаписать прошивки ключевых элементов системы и нарушить работу устройства. Для того чтобы восстановить оборудование после нападения, понадобится вручную загрузить новый вариант микропрограммы.
Модуль BMC — независимый элемент компьютерной системы, при помощи которого администратор может следить за параметрами работы сервера, а также удаленно обслуживать его. Обычно для этого используется сетевой доступ или интерфейс IPMI (Intelligent Platform Management Interface), однако ИБ-специалисты обратили внимание на другой, менее распространенный канал связи с контроллером — Keyboard Controller Style (KCS). При помощи этого метода удаленный злоумышленник способен полностью заменить прошивку BMC, внедрив в нее вредоносный код. Для этого ему потребуется проникнуть на целевой сервер, используя уже известные уязвимости или украденные учетные данные, однако дальнейшая атака не требует авторизации и дополнительных привилегий.
Демонстрируя уязвимость, исследователи записали в контроллер прошивку, которая по дистанционной команде удалила код системного интерфейса UEFI, отвечающего за связь ОС с аппаратной частью компьютера, а также стерла ключевые элементы собственной микропрограммы. После перезагрузки взломанный сервер оказался неработоспособным, а для восстановления прошивок потребовалось специальное оборудование. Проникновение может оставаться незамеченным в течение длительного времени, поскольку вредоносная прошивка BMC выполняет все функции легитимной микропрограммы. В качестве примера возможной атаки исследователи приводят взлом серверов дата-центра, работа которого окажется парализована по команде киберпреступников.
Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют использовать на серверах средства защиты информации от несанкционированного доступа, средства обнаружения вторжений и другие средства защиты информации для исключения неправомерного проникновения на сервер, а также соблюдать парольную политику и не раскрывать учетные данные третьим лицам.