Puerta trasera abierta. Nunca es una buena señal en un entorno de seguridad informática. Los investigadores que están hurgando seguramente mencionarán sus descubrimientos en un caso como el reciente, donde los servidores en la nube parecían estar comprometidos.

Beaverton, Los observadores de seguridad con sede en Oregón, Eclypsium, habían estado explorando cómo se podía inyectar malware en servidores en la nube. La hazaña fue un truco de BMC.

¿Qué son las BMC? Dan Goodin en Ars Technica dijo que se trata de "microcontroladores conectados a la placa base que brindan un control extraordinario sobre los servidores dentro de los centros de datos".

BMC son las siglas de Baseboard Management Controller. Aquí está la definición de IBM. "El controlador de administración de la placa base (BMC) es un componente de terceros diseñado para permitir la administración remota de un servidor para el aprovisionamiento inicial, reinstalación del sistema operativo y solución de problemas. Como parte de la oferta Bare Metal Server de IBM Cloud, los clientes tienen acceso al BMC ".

Alex Bazhaniuk en el sitio de Eclypsium había advertido sobre posibles problemas de BMC antes del informe más reciente de Eclypsium. De vuelta en agosto Señaló que "el BMC se ha convertido en un área de investigación particularmente activa para los investigadores de seguridad".

Si bien los BMC pueden satisfacer una necesidad crítica de centros de datos, también presentan un riesgo.

Como descubrió Goodin, las advertencias sobre BMC y posibles debilidades de seguridad se remontan más atrás, como en 2013, cuando los investigadores advirtieron que las BMC preinstaladas en servidores de algunos fabricantes de grandes marcas no estaban bien protegidas. Sucesivamente, los atacantes posiblemente podrían tener "una forma sigilosa y conveniente de apoderarse de flotas enteras de servidores dentro de los centros de datos".

En los últimos hallazgos, los investigadores entregaron un blog detallado que examinaba las implicaciones de seguridad para los servicios de nube general y de bare-metal. Ese blog también incluía consejos de mejores prácticas para clientes y proveedores de servicios en la nube.

En un modelo de nube "bare metal", Las vulnerabilidades de BMC pueden socavar este modelo al permitir que un cliente deje una puerta trasera que permanecerá activa una vez que se reasigne el servidor. dijo Goodin.

En esa misma nota, BleepingComputadora Sergiu Gatlan escribió que "los servidores bare metal pueden verse comprometidos por posibles atacantes que podrían agregar puertas traseras maliciosas y código en el firmware de un servidor o en su controlador de administración de placa base (BMC) con habilidades mínimas".

Entonces, En estas "reasignaciones de clientes" pueden surgir problemas.

En BleepingComputadora , Gatlan resumió el descubrimiento de Eclypsium, donde "los atacantes pueden implantar puertas traseras maliciosas dentro del firmware de la infraestructura compartida de los servicios en la nube, y estos implantes pueden sobrevivir después de que el proveedor de servicios en la nube distribuye el servidor a otro cliente ".

Dijo que la vulnerabilidad permite a los atacantes implantar implantes de puerta trasera en el firmware o BMC de los servidores bare metal que sobreviven a la reasignación del cliente en los servicios bare metal y en la nube en general.

Con el cliente abierto a ataques, los escenarios pueden variar desde el robo de datos, a la denegación de servicio, al ransomware.

Cuando los perros de seguridad ladran, mientras tanto, IBM escucha. Y si los ladridos merecen no solo atención sino acción, luego responden. Los lunes, IBM dijo que reconoció la vulnerabilidad. "En algunos modelos de sistema ofrecidos por IBM Cloud y otros proveedores de nube, "decía la publicación del blog, "un atacante malintencionado con acceso al sistema aprovisionado podría sobrescribir el firmware del BMC". El sistema podría devolverse al grupo de hardware. El firmware BMC comprometido podría usarse para atacar al próximo usuario del sistema.

Uno no pudo evitar notar que IBM describió el problema como "de baja gravedad". Después de todo, "El BMC tiene una capacidad de procesamiento y una memoria limitadas, lo que dificulta este tipo de ataques, ", dijo IBM. Además, la compañía dijo que no encontraron ningún indicio de un exploit a través de esta vulnerabilidad con fines maliciosos.

Qué, luego, ¿Qué acción estaba proponiendo IBM?

"IBM ha respondido a esta vulnerabilidad obligando a todos los BMC, incluidos aquellos que ya están informando de firmware actualizado, para actualizarse con el firmware de fábrica antes de que se reaprovisionen a otros clientes. Se borran todos los registros del firmware de BMC y se vuelven a generar todas las contraseñas del firmware de BMC ".

Revisión de negocios informáticos :"Bare metal se refiere a un servidor alquilado exclusivamente en un centro de datos en la nube, en lugar de Infraestructura como servicio (IaaS) que involucra VM que usan servidores físicos para múltiples clientes en la nube ".

Como señaló Eclypsium, La mayoría de las opciones de servicio IaaS estándar harán que varios clientes compartan los recursos de un servidor físico subyacente y algunos clientes tendrán requisitos de alto rendimiento para sus aplicaciones o poseerán datos confidenciales que no quieren tener almacenados en una máquina compartida.

"Para estas aplicaciones de alto valor, Los proveedores de servicios en la nube ofrecen opciones de nube completa en las que los clientes compran acceso a servidores físicos que pueden utilizar de la forma que consideren adecuada. No hay necesidad de preocuparse por la compra y el soporte de hardware:pueden crecer bajo demanda según sea necesario ".

Como ocurre con todos los servicios en la nube, una vez que un cliente haya terminado de usar un servidor bare-metal, el proveedor de servicios recupera el hardware y lo reutiliza para otro cliente.

El consejo de despedida de Gatlan:"Si bien las ofertas de nube completa son muy convenientes para las organizaciones que no desean invertir en su propio hardware, Las preocupaciones de seguridad, como la que descubrió el equipo de investigación de Eclypsium, podrían convencerlos de cambiar al hardware que poseen y administrar en el sitio para evitar que se acceda o modifiquen datos confidenciales. así como las aplicaciones críticas deshabilitadas ".

© 2019 Science X Network