Спецпроекты

Безопасность Администратору Пользователю Стратегия безопасности Цифровизация Инфраструктура

Удаленная атака превращает серверы в «кирпичи» за четыре простых шага. Видео

Удалённая кибератака позволяет загрузить на сервер и установить вредоносный вариант прошивки контроллера управления материнской платой и тем самым сделать загрузку сервера невозможной.

Как убить сервер в четыре простых шага

Эксперты по безопасности компании Eclypsium нашли новый способ удалённо выводить серверы из строя: атака на программную прошивку ключевого компонента делает невозможным загрузку сервера, так что для его восстановления требуется физическое вмешательство. Для проведения атаки нужны только самые что ни на есть штатные средства обновления контроллера управления материнской платой (BMC).

Эти контроллеры в действительности представляют собой микрокомпьютеры, встроенные в материнские платы почти всех серверов, а также дорогостоящих маршрутизаторов и систем хранения данных.

Администраторы используют контроллеры управления материнскими платами для сбора данных о состоянии устройства, а также для удалённого управления ими – в том числе для перенастройки серверов, переустановки операционных систем или обновления программных прошивок.

Атака на контроллер потребует от злоумышленника сперва получить административный контроль над самим сервером - с помощью вредоносного ПО, эксплойтов или посредством кражи реквизитов доступа.

Далее злоумышленник может подключиться к серверу через SSH и загрузить вредоносное обновление прошивки контроллера материнской платы. Помимо загрузки, потребуется также одобрить её установку, но с административным доступом реализовать совсем несложно.

Вредоносное обновление стирает UEFI и критические компоненты легитимной прошивки контроллера материнской платы, в результате чего сервер невозможно загрузить.

Вся операция может быть произведена удалённо. Более того, продвинутые злоумышленники могут атаковать цепочку поставок, то есть, подменить прошивку для BMC на уровне производителя.

Лечение физическим доступом

А вот «лечение» сервера потребует физического доступа к серверу. Машину потребуется вскрыть, тогда администратор сможет напрямую подсоединиться к контроллеру и перепрошить его. Это высокотехнологичная, сложная и очень недешёвая операция, так что финансовые потери будут очень серьёзными. Даже куда более серьёзными, чем даже атаки вредоносов-вайперов, уничтожающих данные: те, по крайней мере, не наносят вреда аппаратной составляющей.

«Ключевая опасность здесь - возможность удалённого проведения атаки на практически любые серверы, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Это означает, помимо прочего, что под угрозой - дата-центры, аппаратная инфраструктура облачных сервисов и так далее. Даже кратковременный вывод их из строя - это гигантский ущерб для всех их клиентов. При этом защититься от этого возможно только обеспечив 100% безопасность самих серверов от более традиционных кибератак».

Роман Георгиев

Короткая ссылка