(https://i.imgur.com/2uJdC5t.png)
Se descubrió que un rootkit previamente desconocido estaba enfocado en la tecnología de administración de servidor Integrated Lights-Out ( iLO ) de Hewlett-Packard Enterprise para llevar a cabo ataques en la naturaleza que manipulan los módulos de firmware y borran por completo los datos de los sistemas infectados.
El descubrimiento, que es la primera instancia de malware del mundo real en el firmware de iLO, fue documentado por la firma iraní de ciberseguridad Amnpardaz esta semana.
"Hay numerosos aspectos de iLO que lo convierten en una utopía ideal para los grupos de malware y APT: privilegios extremadamente altos (por encima de cualquier nivel de acceso en el sistema operativo), acceso de muy bajo nivel al hardware, estar totalmente fuera de la vista de los administradores y las herramientas de seguridad, la falta general de conocimientos y herramientas para inspeccionar iLO y / o protegerlo, la persistencia que proporciona para que el malware permanezca incluso después de cambiar el sistema operativo y, en particular, estar siempre en ejecución y nunca apagarse, " dijeron los investigadores .
Además de administrar los servidores, el hecho de que los módulos iLO tengan un amplio acceso a todo el firmware, hardware, software y sistema operativo (SO) instalados en los servidores los convierte en un candidato ideal para violar organizaciones que utilizan servidores HP, mientras que también permite que el malware mantener la persistencia después de reiniciar y sobrevivir a las reinstalaciones del sistema operativo. Sin embargo, el modus operandi exacto utilizado para infiltrarse en la infraestructura de la red y desplegar el limpiaparabrisas sigue siendo desconocido.
(https://i.imgur.com/PzUffSi.png)
Apodado iLOBleed , el rootkit se ha utilizado en ataques desde 2020 con el objetivo de manipular una serie de módulos de firmware originales para obstruir sigilosamente las actualizaciones del firmware. Específicamente, las modificaciones realizadas a la rutina del firmware simulan el proceso de actualización del firmware, al mostrar supuestamente la versión de firmware correcta y agregar registros relevantes, cuando en realidad no se realizan actualizaciones.
"Esto por sí solo muestra que el propósito de este malware es ser un rootkit con el máximo sigilo y esconderse de todas las inspecciones de seguridad", dijeron los investigadores. "Un malware que, al esconderse en uno de los recursos de procesamiento más poderosos (que siempre está activo), es capaz de ejecutar cualquier comando recibido de un atacante, sin que nunca sea detectado".
(https://i.imgur.com/s3H6LWh.png)
Aunque el adversario sigue sin ser identificado, Amnpardaz describió el rootkit como probablemente el trabajo de una amenaza persistente avanzada (APT), una designación de un estado-nación o grupo patrocinado por el estado que emplea técnicas de piratería continua, clandestinas y sofisticadas para obtener acceso no autorizado a un sistema y permanecer en el interior durante un período prolongado de tiempo sin llamar la atención.
En todo caso, el desarrollo vuelve a enfocar la seguridad del firmware, lo que requiere que las actualizaciones de firmware enviadas por el fabricante se apliquen rápidamente para mitigar los riesgos potenciales, las redes iLO se segmentan de las redes operativas y que el firmware se monitorea periódicamente para detectar signos de infección. .
"Otro punto importante es que existen métodos para acceder e infectar iLO tanto a través de la red como del sistema operativo del host", señalaron los investigadores. "Esto significa que incluso si el cable de red de iLO está completamente desconectado, todavía existe la posibilidad de infección con el malware. Curiosamente, no hay forma de apagar o deshabilitar iLO por completo en caso de que no sea necesario".
Fuente: https://thehackernews.com