至頂網(wǎng)安全頻道 02月28日 編譯:安全領(lǐng)域中的堅定保守派們一直警告稱��,一旦計算機落入陌生人手中����,那么這些設(shè)備將不再值得信任�����。如今�����,一家公司的研究人員已經(jīng)證明���,在某些情況下����,同樣的論斷也適用于我們根本無法觸及的某些計算設(shè)備——云服務(wù)器�����。
本周二��,安全廠商Eclypsium公司的研究人員公布了一項實驗結(jié)果��,他們表示對于某類特定云計算服務(wù)器�����,完全可以通過某種狡猾的方式進行入侵:他們可以從云計算供應商處租用服務(wù)器——他們在實際測試中選擇了IBM云服務(wù)——而后變更其固件,隱藏對代碼的更改�,從而在租用期限截止后將變更延續(xù)至另一位租用同一臺機器的客戶。
雖然在演示當中����,他們僅僅只對IBM服務(wù)器的固件進行了良性發(fā)動,但他們警告稱同樣的技術(shù)完全可以被用于在服務(wù)器的隱藏代碼內(nèi)植入惡意軟件�����。如此一來�,即使其他人接管機器,也仍然無法檢測到這些代碼���。這意味著黑客將能夠借此架設(shè)間諜服務(wù)器���、變更其中的數(shù)據(jù),甚至根據(jù)心情將信息銷毀�����。
Eclypsium公司創(chuàng)始人兼前英特爾高級威脅研究小組負責人Yuriy Bulygin解釋稱����,“當組織使用公有云基礎(chǔ)設(shè)施時��,他們實際上是在借用服務(wù)商提供的設(shè)備���,其中可能包括采購自Ebay的二手設(shè)備�����。這些機器也許在正式使用之前就已經(jīng)受到了感染���。通過類似的方式��,如果云服務(wù)供應商無法立足底層對全部設(shè)備進行清理��,包括其中的固件�����,那么該設(shè)備可能長期保持受感染狀態(tài)���。”
云控制難題
Eclypsium公司的研究人員們明確指出�,這種云設(shè)備清潔問題不會對所有云服務(wù)器產(chǎn)生影響。典型的云計算設(shè)置會將每位客戶的計算環(huán)境轉(zhuǎn)換為所謂虛擬機,這類似于計算機內(nèi)部的一種密封運行環(huán)境��。雖然使用同樣的服務(wù)器實體硬件���,但這些虛擬機與該設(shè)備上的其它客戶虛擬機彼此隔離��。
然而���,無論是亞馬遜、甲骨文還是Rackspace���,各大云服務(wù)廠商皆提供所謂裸機服務(wù)器��,這意味著客戶能夠租用并全面控制整體計算機���,從而提高性能或者得到預期中的更高安全性水平。IBM公司目前擁有數(shù)千家企業(yè)客戶����,他們利用裸機執(zhí)行著各類日常任務(wù)——包括視頻會議托管、移動支付乃至神經(jīng)刺激治療等等����。
通過以裸機設(shè)置方式租用計算機,攻擊者將能夠獲得風險更高的組件訪問級別,而這些組件完全可用于將惡意軟件傳遞給該服務(wù)器的下一位租用者�����。Bulygin表示�����,“這時問題就變得相當嚴重�,而且裸機服務(wù)的惡意利用難度要比虛擬機低得多����。”
無論是出于研究目的還是為了籌備真實入侵�,黑客們已經(jīng)用多年的時間證明,一切固件都完全可以為惡意代碼提供隱藏的立足點——無論其芯片有多么有限�,包括U盤乃至常見的磁盤驅(qū)動器等。這類感染能夠躲過一切反病毒工具的掃描����,甚至能夠在對計算機存儲內(nèi)容的全面清理之后仍然頑強存在。
Eclypsium公司的研究人員們此次利用的���,是由Super Micro公司為IBM提供的���、用于向客戶提供裸機云計算服務(wù)的固件��,名為基板管理控制器——簡稱BMC�����。BMC用于遠程監(jiān)控并管理服務(wù)器��,其擁有極為全面的功能����,包括訪問計算機內(nèi)存乃至變更其操作系統(tǒng)等�。在以往的研究當中,Eclypsium公司甚至已經(jīng)證明����,攻擊者可以利用遭受入侵的BMC對其它組件的固件進行重寫,最終利用目標計算機執(zhí)行特定計算任務(wù)或者創(chuàng)造通道以發(fā)動潛在的勒索軟件攻擊�����。
“一旦固件受到感染���,我們將無法判斷設(shè)備到底仍然受到感染���,還是已經(jīng)恢復正常���。”——Karsten Nohl�����,安全研究實驗室
在他們的實驗當中�����,Eclypsium的研究人員們租用了一臺IBM裸機云服務(wù)器�,而后對其中的BMC固件進行了一番無害更改——僅僅修改了代碼當中的一個bit���。在此之后�����,他們停止租用這臺服務(wù)器�,并將其釋放至IBM的可用機器資源池中供其他客戶使用��。幾個小時之后�,他們租用了大量服務(wù)器以再次獲得同一臺服務(wù)器�����,并通過主板序列號外加其它唯一標識將其找到����。他們發(fā)現(xiàn)�,盡管IBM方面稱這是一臺“全新”設(shè)備,但BMC固件的更改仍然存在于其中�。
Bulygin指出,“固件受到的感染是持久性的���,且不會因為對整體軟件堆棧重新進行鏡像安裝而消失���。”雖然這一次研究人員只進行了一點小小的良性改變��,但他們表示利用同樣的方法�����,真正的惡意分子將能夠輕松隱藏真正的惡意固件����。
無法判斷是否存在感染
為了回應Eclypsium方面的研究結(jié)果�,IBM公司發(fā)布了一份聲明��,將此項漏洞視為“低威脅”水平�。但其同時承諾,未來將會在不同用途的客戶使用場景之間認真清理服務(wù)器上的BMC固件:“IBM公司通過強制清理所有BMC應對此項漏洞可能利用的固件����,包括報告中涉及的最新固件。在重新配置并交付其他客戶使用之前����,我們將使用出廠恢復工具重新刷新固件。此項操作將清除BMC固件中的全部日志�����,同時重新生成BMC固件的所有密碼���。”
截至本周一晚����,Eclypsium公司的研究人員們表示其仍然能夠?qū)崿F(xiàn)自己發(fā)現(xiàn)的感染方法,這也意味著IBM方面的修復工作仍然沒有得到落實��。但IBM公司的一位發(fā)言人在接受采訪時指出,“修復工作已經(jīng)交付實施���,我們正在處理積壓工作���。”
即使如此����,其它關(guān)注固件方向的研究人員對于IBM公司為此項漏洞發(fā)布的“低威脅”標簽以及提出的修復方案持懷疑態(tài)度。Karsten Nohl曾開發(fā)出所謂BadUSB攻擊�����,其能夠悄悄修改U盤上的固件��。
Nohl指出���,BMC固件的可更改特性意味著黑客將具有控制目標服務(wù)器的通道���,亦能夠在管理員試圖重新刷新時“欺騙對方”——即通過提示信息表明自身已經(jīng)完成更新,但實際上卻并沒有刪除惡意代碼��。Nohl表示�,“一旦固件受到感染���,我們將沒有辦法判斷其仍然受到感染,或者已經(jīng)恢復正常�。”另一位著名固件黑客H.D.Moore認為���,只需要在服務(wù)器上添加一塊硬件來檢查固件的完整性���,就能夠徹底解決這個問題。
關(guān)于這方面情況����,IBM公司拒絕回應我們提出的、關(guān)于可靠固件更新難度的問題��。由于Eclypsium方面僅測試了IBM的裸機服務(wù)器產(chǎn)品��,因此目前尚不清楚其它云服務(wù)廠商是否也會受到同一固件問題的影響���。
好消息是,Nohl認為裸機服務(wù)器只占云服務(wù)家族中的一小部分�,而虛擬化服務(wù)器則很難通過這種固件方法進行攻擊。然而����,存在這種易受攻擊的可能性畢竟會讓用戶的心里感到不舒服���。Nohl總結(jié)稱,“其影響到的只是特定的利基市場��。但利基與否并不是重點����。即使是對于利基市場而言,這也是一種值得高度重視的攻擊可能���,更可怕的是我們無法通過簡單的方法加以解決�����?��!?/p>
