Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ

На днях специалистами по информационной безопасности был продемонстрирован эксплойт, при помощи которого можно вывести из строя компьютеры, оснащенные микроконтроллером BMC (Baseboard Management Controller).

По мнению экспертов, этот компонент, широко используемый в серверных платформах, уязвим для удаленной атаки.
Как выяснили исследователи, злоумышленники могут перезаписать прошивки ключевых элементов системы и нарушить работу устройства. Для того чтобы восстановить оборудование после нападения, понадобится вручную загрузить новый вариант микропрограммы.
Модуль BMC — независимый элемент компьютерной системы, при помощи которого администратор может следить за параметрами работы сервера, а также удаленно обслуживать его. Обычно для этого используется сетевой доступ или интерфейс IPMI (Intelligent Platform Management Interface), однако ИБ-специалисты обратили внимание на другой, менее распространенный канал связи с контроллером — Keyboard Controller Style (KCS).
При помощи этого метода удаленный злоумышленник способен полностью заменить прошивку BMC, внедрив в нее вредоносный код. Для этого ему потребуется проникнуть на целевой сервер, используя уже известные уязвимости или украденные учетные данные, однако дальнейшая атака не требует авторизации и дополнительных привилегий.
Демонстрируя уязвимость, исследователи записали в контроллер прошивку, которая по дистанционной команде удалила код системного интерфейса UEFI, отвечающего за связь ОС с аппаратной частью компьютера, а также стерла ключевые элементы собственной микропрограммы. После перезагрузки взломанный сервер оказался неработоспособным, а для восстановления прошивок потребовалось специальное оборудование.
Проникновение может оставаться незамеченным в течение длительного времени, поскольку вредоносная прошивка BMC выполняет все функции легитимной микропрограммы. В качестве примера возможной атаки исследователи приводят взлом серверов дата-центра, работа которого окажется парализована по команде киберпреступников.

Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют использовать на серверах средства защиты информации от несанкционированного доступа, средства обнаружения вторжений и другие средства защиты информации для исключения неправомерного проникновения на сервер, а также соблюдать парольную политику и не раскрывать учетные данные третьим лицам.