El ataque de firmware remoto hace que los servidores no puedan arrancar
Los investigadores de seguridad han encontrado una forma de corromper el firmware de un componente crítico que generalmente se encuentra en los servidores para convertir los sistemas en un conjunto de hardware que no se puede arrancar. El procedimiento de recuperación requiere intervención física para reemplazar el firmware malicioso.
El logro de esto se realiza mediante herramientas regulares que se utilizan para mantener actualizado el controlador de administración de la placa base (BMC).
Los BMC son microcontroladores especializados (más como microcomputadoras independientes) integrados en prácticamente todas las placas base de los servidores; también están presentes en los sistemas de almacenamiento de interruptores de gama alta, JBOD (solo un montón de discos) y JBOF (solo un montón de flash).
Además de obtener información sobre el estado del sistema, los administradores pueden usar los BMC para la administración remota de la unidad. Pueden configurar el servidor, reinstalar el sistema operativo y actualizar el firmware del sistema host.
Los BMC son microcontroladores especializados (más como microcomputadoras independientes) integrados en prácticamente todas las placas base de los servidores; también están presentes en los sistemas de almacenamiento de interruptores de gama alta, JBOD (solo un montón de discos) y JBOF (solo un montón de flash).
Además de obtener información sobre el estado del sistema, los administradores pueden usar los BMC para la administración remota de la unidad. Pueden configurar el servidor, reinstalar el sistema operativo y actualizar el firmware del sistema host.
Siguiente nivel en ataques cibernéticos destructivos
Si bien es posible implementar la actualización del BMC malintencionada desde una ubicación remota, el paso destructivo representa la etapa final de un ataque, por lo que es necesario el acceso inicial al objetivo.
Al usar la interfaz basada en el host conocida como Keyboard Controller Style (KCS), los investigadores de la firma de seguridad de firmware y hardware Eclypsium pudieron pasar una imagen de firmware malintencionada al BMC de la computadora.
Vale la pena señalar que KCS es parte de la especificación de la Interfaz de administración de plataforma inteligente (IPMI), donde anteriormente se han encontrado graves riesgos de seguridad. El US-CERT en 2013 emitió una alerta sobre los riesgos de IPMI, y las guías para los probadores de penetración están fácilmente disponibles.
Los investigadores de Eclypsium dicen que la autenticación o las credenciales no son necesarias para actualizar el firmware del BMC con una versión personalizada. En un video publicado hoy, muestran los pasos para actualizar el BMC con un firmware malicioso, lo que hace que el servidor quede inutilizable.
"Esta actualización maliciosa del firmware del BMC contiene un código adicional que, una vez activado, borrará el firmware del sistema UEFI y los componentes críticos del propio firmware del BMC", explican hoy en una publicación del blog.
Las modificaciones realizadas al host y al BMC impiden las acciones de recuperación del sistema, ya que el arranque ya no es una opción.
Por razones de seguridad, los BMC están protegidos a través del aislamiento de la red, pero esta precaución no es buena si el host está directamente dirigido. Tal ataque puede seguir el camino trillado de un ataque cibernético que comienza con la etapa de reconocimiento inicial y luego desarrolla la persistencia. Un adversario más avanzado también podría envenenar la cadena de suministro para saltarse los pasos iniciales del compromiso.
Eclypsium dice que un ataque de este tipo "también podría programarse fácilmente para ejecutarse en un momento específico. Se pueden implementar como una función de interruptor de interrupción en el software malicioso, el firmware o los componentes de hardware".
Volver a poner el servidor en línea
Las víctimas de ataques a nivel de firmware tienen pocas opciones para recuperarse y, para cuando todo esté funcionando, las pérdidas incurridas podrían tener un impacto permanente en el futuro del negocio.
Reemplazar el firmware dañado requiere herramientas y conocimientos especiales. Cada servidor cuyo BMC ha sido dañado debe abrirse para conectarse físicamente al chip y actualizar el firmware con una buena versión.
Esta es una operación muy técnica y lenta realizada por servicios especializados que no son baratos. Para cuando los sistemas estén en funcionamiento, las pérdidas financieras podrían ser enormes.
Por ejemplo, tras el ataque NotPetya el año pasado, la empresa de transporte de contenedores Maersk tuvo que reinstalar más de 4,000 servidores, 45,000 PC y 2500 aplicaciones.
Aunque la compañía fue solo una víctima colateral, estiman que las pérdidas se encuentran entre $ 250 y $ 300 millones.
La recuperación de los ataques de borrado de datos es más rápida
Los ataques destructivos destinados a interrumpir la actividad del objetivo no son nuevos y han estado ocurriendo desde al menos 2012, el incidente más reciente de este tipo ocurrido este mes, a través de Shamoon.
Los programas maliciosos como NotPetya, Shamoon, Destover y StoneDrill muestran un claro interés en causar daños al borrar los datos de los hosts de la víctima.
Sin embargo, si existen políticas e infraestructura de respaldo adecuadas, las víctimas pueden recuperarse de estos ataques y minimizar las pérdidas financieras.
La demostración de Eclypsium muestra que los ataques a nivel de firmware pueden ser mucho más dañinos y no requieren acceso físico. Los centros de datos y las aplicaciones en la nube son objetivos potenciales; desconectarlos, incluso por un período breve, podría tener un impacto significativo en un negocio.
Fuente: https://www.bleepingcomputer.com/