Gerenciamento out-of-band oferece risco a datacenters

Os recursos para gerenciamento out-of-band, padrões na manutenção de servidores em datacenters, oferecem mais riscos do que se imagina, conforme pesquisa e prova de conceito publicados em relatório da empresa norte-americana Eclypsium com data do dia 19 de Dezembro. A empresa mostrou de que forma é possível, remotamente, inutilizar um servidor por meio do BMC, o baseboard management controller, um recurso que existe nos bons servidores empresariais.

Um controlador de gerenciamento de baseboard (BMC) é um processador de serviços especializado que monitora o estado físico de um computador, servidor de rede ou qualquer outro dispositivo de hardware usando sensores e se comunicando com o administrador do sistema por meio de uma conexão independente. O BMC faz parte da Interface de Gerenciamento de Plataforma Inteligente (IPMI) e geralmente está na placa-mãe ou na placa de circuito principal do dispositivo a ser monitorado.

Claro que no mundo real nem tudo é fácil como nas provas de conceito, mas ela transcorre assim:

  1. Alguém consegue uma conexão SSH com o servidor, por meio de malware, exploit ou roubo de credenciais
  2. Depois a pessoa atualiza o firmware do BMC com uma versão maliciosa
  3. O BMC faz seu reboot com a imagem recém-gravada
  4. O BMC deleta o firmware do servidor
  5. O BMC deleta seu próprio firmware
  6. O BMC faz reboot no servidor mas ele perdeu o firmware, está inútil
  7. O pessoal de suporte não consegue acessar nem o BMC porque seu firmware foi deletado

Essa prova de conceito é interessante porque, segundo os especialistas da Eclypsium, os ataques de firmware só são considerados em risco físico, ou seja, no caso de alguém conseguir acesso físico ao servidor. Dessa vez, contudo, a operação foi totalmente remota. O vice-presidente de engenharia da Eclypsium, John Loucaides, observa que embora os especialistas já conhecessem as possibilidades desse ataque, poucos haviam conseguido demonstrar. “O objetivo do Eclypsium na documentação publicada hoje é ajudar a melhorar a compreensão do vetor de ataque remoto, que pode ser realizado em escala com enormes danos potenciais”, disse Loucaides. O relatório está em

https://eclypsium.com/2018/12/19/remotely-bricking-a-server/

Veja o vídeo com a gravação da POC em

 

113Shares

Powered by WordPress. Designed by Woo Themes