Il team di sicurezza ha discusso della debolezza dei servizi bare metal
Porta sul retro aperta. Mai un buon segno in un ambiente di sicurezza informatica. I ricercatori che curiosano sicuramente racconteranno le loro scoperte in un’istanza come quella recente, in cui i server cloud sembravano come se potessero essere compromessi.
Gli osservatori della sicurezza di Beaverton, in Oregon, Eclypsium, stavano esplorando come il malware potesse essere iniettato nei server cloud bare metal. L’impresa è stata un hack BMC.
Cosa sono i BMC? Dan Goodin in Ars Tecnica ha affermato che si tratta di “microcontrollori collegati alla scheda madre che offrono un controllo straordinario sui server all’interno dei datacenter”.
BMC sta per Baseboard Management Controller. Ecco la definizione di IBM. “Baseboard Management Controller (BMC) è un componente di terze parti progettato per consentire la gestione remota di un server per il provisioning iniziale, la reinstallazione del sistema operativo e la risoluzione dei problemi. Come parte dell’offerta Bare Metal Server di IBM Cloud, i clienti hanno accesso al BMC.”
Alex Bazhaniuk sul sito di Eclypsium aveva avvertito di possibili problemi di BMC prima del rapporto più recente di Eclypsium. Ad agosto, ha sottolineato che “il BMC è diventato un’area di indagine particolarmente calda per i ricercatori della sicurezza”.
Sebbene i BMC possano soddisfare un’esigenza critica per i data center, presentano anche un rischio.
Come ha scoperto Goodin, gli avvisi sui BMC e le possibili debolezze della sicurezza potrebbero essere rintracciati ulteriormente, come nel 2013, quando i ricercatori hanno avvertito che i BMC preinstallati nei server di alcuni grandi produttori di marchi erano scarsamente protetti. A loro volta, gli aggressori potrebbero avere “un modo furtivo e conveniente per impadronirsi di intere flotte di server all’interno dei datacenter”.
Nelle ultime scoperte, i ricercatori hanno pubblicato un blog dettagliato che ha esaminato le implicazioni sulla sicurezza per i servizi cloud bare-metal e generali. Quel blog includeva anche consigli sulle migliori pratiche per clienti e fornitori di servizi cloud.
In un modello cloud “bare metal”, le vulnerabilità di BMC possono minare questo modello consentendo a un cliente di lasciare una backdoor che rimarrà attiva una volta riassegnato il server, ha affermato Goodin.
Sulla stessa nota, BleepComputerSergiu Gatlan di Sergiu ha scritto che “i server bare metal possono essere compromessi da potenziali aggressori che potrebbero aggiungere backdoor e codice dannosi nel firmware di un server o nel suo controller di gestione del battiscopa (BMC) con competenze minime”.
Quindi, queste “riassegnazioni dei clienti” sono i punti in cui possono presentarsi problemi.
In BleepComputer, Gatlan ha riassunto la scoperta di Eclypsium, in cui “gli aggressori possono impiantare backdoor dannose all’interno del firmware dell’infrastruttura condivisa dei servizi cloud, con questi impianti in grado di sopravvivere dopo che il fornitore di servizi cloud ha distribuito il server a un altro cliente”.
Ha affermato che la vulnerabilità consente agli aggressori di impiantare impianti backdoor nel firmware o BMC di server bare metal che sopravvivono alla riassegnazione dei client nei servizi cloud bare metal e generali.
Con il cliente aperto agli attacchi, gli scenari possono variare dal furto di dati, alla negazione del servizio, al ransomware.
Quando i segugi della sicurezza abbaiano, nel frattempo, IBM ascolta. E se i latrati meritano non solo attenzione ma anche azione, allora rispondono. Lunedì, IBM ha dichiarato di aver riconosciuto la vulnerabilità. “Su alcuni modelli di sistema offerti da IBM Cloud e da altri fornitori di servizi cloud”, afferma il post sul blog, “un utente malintenzionato con accesso al sistema fornito potrebbe sovrascrivere il firmware del BMC”. Il sistema potrebbe essere restituito al pool hardware. Il firmware BMC compromesso potrebbe essere utilizzato per attaccare il prossimo utente del sistema.
Non si poteva fare a meno di notare che IBM ha descritto il problema come “bassa gravità”. Dopotutto, “BMC ha una potenza di elaborazione e una memoria limitate, il che rende difficili questi tipi di attacchi”, ha affermato IBM. Inoltre, la società ha affermato di non aver trovato alcuna indicazione di un exploit tramite questa vulnerabilità per scopi dannosi.
Quale azione proponeva allora IBM?
“IBM ha risposto a questa vulnerabilità costringendo tutti i BMC, compresi quelli che stanno già segnalando firmware aggiornato, a essere aggiornati con il firmware di fabbrica prima di essere riforniti ad altri clienti. Tutti i registri nel firmware BMC vengono cancellati e tutte le password del firmware BMC vengono rigenerate.”
Revisione aziendale del computer: “Bare metal si riferisce a un server in leasing esclusivo in un data center cloud, piuttosto che Infrastructure-as-a-Service (IaaS) che coinvolge VM che utilizzano server fisici per più client cloud.”
Come notato da Eclypsium, la maggior parte delle opzioni di servizio IaaS standard prevede che più clienti condividano le risorse di un server fisico sottostante e alcuni clienti avranno requisiti di prestazioni elevate per le loro applicazioni o possederanno dati sensibili che non desiderano archiviare su una macchina condivisa.
“Per queste applicazioni di alto valore, i fornitori di servizi cloud offrono opzioni cloud bare metal in cui i clienti acquistano l’accesso a server fisici dedicati che possono utilizzare in qualsiasi modo ritengano opportuno. Non è necessario preoccuparsi di acquistare e supportare l’hardware, ehi può crescere su richiesta secondo necessità.”
Come con tutti i servizi cloud, una volta che un cliente ha finito di utilizzare un server bare metal, l’hardware viene recuperato dal fornitore di servizi e riutilizzato per un altro cliente.
Il consiglio di addio di Gatlan: “Mentre le offerte di cloud bare metal sono molto convenienti per le organizzazioni che non vogliono investire nel proprio hardware, problemi di sicurezza come quello scoperto dal team di ricerca di Eclypsium potrebbero convincerle a passare all’hardware che possiedono e su cui gestiscono -site per evitare l’accesso o la modifica di dati sensibili e la disattivazione delle app critiche.”
