Khai thác Cloudbourne cho phép tin tặc tấn công vào máy chủ đám mây

Nguyễn Thùy Linh, Lâm Thị Nguyệt| 01/03/2019 11:25
Theo dõi ICTVietnam trên

Lỗ hổng Cloudbourne có thể cho phép tin tặc tấn công bất kỳ khách hàng nào trên các máy chủ dựa trên đám mây

Một lỗ hổng mới được phát hiện bởi các nhà nghiên cứu bảo mật có thể cho phép tin tặc cài đặt các backdoor (hay còn gọi là “cửa hậu”) vào firmware của máy chủ đám mây bare-metal server (hay còn gọi là máy chủ vật lý riêng) đang hoạt động ngay cả khi khách hàng sử dụng phần cứng được tái chỉ định ở nơi khác.

Cloudbourne, tên gọi của lỗ hổng, lần đầu tiên được phát hiện bởi các nhà nghiên cứu tại Eclypsium Research Team, nhóm nghiên cứu đã trình bày chi tiết phát hiện của họ trong một bài đăng trên blog. Họ phát hiện ra tin tặc có thể cấy các cửa hậu và phần mềm độc hại vào firmware của máy chủ hoặc trong bộ điều khiển quản lý bảng điều khiển (BMC) một cách dễ dàng.

Các BMC này cho phép quản lý từ xa máy chủ trong dự liệu ban đầu, cài đặt lại hệ điều hành và xử lý sự cố. Cloudbourne khai thác một lỗ hổng trong quy trình cải tạo phần cứng trên máy tính khi di chuyển khách hàng ra vào một máy chủ vật lý riêng.

Mặc dù các máy chủ vật lý chỉ dành riêng cho một khách hàng tại một thời điểm, nhưng khách hàng không tồn tại mãi mãi, các nhà nghiên cứu cho biết. Máy chủ được cung cấp và thu hồi theo thời gian và do vậy, chuyển từ khách hàng này sang khách hàng khác.

Firmware của phần cứng không bị thay đổi trong quá trình cải tạo, cho phép các cửa hậu tồn tại dai dẳng. Một hacker sử dụng một lỗ hổng đã biết trong phần cứng Supermicro để viết lại BMC và lấy được quyền truy cập trực tiếp vào phần cứng.

Các nhà nghiên cứu cho biết, tin tặc “có thể chi một khoản tiền rất nhỏ để truy cập vào máy chủ, cấy phần mềm độc hại ở UEFI, BMC hoặc thậm chí ở cấp bộ phận, như trong các ổ đĩa hoặc bộ điều hợp mạng. Sau đó, kẻ tấn công có thể trả phần cứng lại cho nhà cung cấp dịch vụ và phần cứng đó có thể lại được sử dụng cho một khách hàng khác.”

Nhóm nghiên cứu nói thêm rằng với khả năng điều khiển máy chủ BMC, mọi lỗ hổng của firmaware có thể cung cấp quyền truy cập vào các công cụ mạnh mẽ cho kẻ tấn công khai thác.

Họ cho biết bản chất của các ứng dụng và dữ liệu được lưu trữ trên các máy chủ vật lý mở ra cơ hội cho các kịch bản tấn công có tác động cao xảy ra.

Những kịch bản này bao gồm sự gián đoạn ứng dụng, trong đó một bộ cấy độc hại ở cấp BMC có thể vô hiệu hóa vĩnh viễn một máy chủ; đánh cắp dữ liệu, vì nó cung cấp cho kẻ tấn công một cách thức có thể dễ dàng đánh cắp hoặc chặn dữ liệu; và các cuộc tấn công tống tiền, vì những kẻ tấn công đương nhiên sẽ có khả năng nắm giữ các tài sản có giá trị.

Cửa hậu cũng có thể xâm phạm các phần khác của cơ sở hạ tầng đám mây. Ví dụ, tin tặc có thể gửi các lệnh IPMI (Intelligent Platform Management Interface – Giao diện quản lý nền tảng thông minh) độc hại qua các giao diện hệ thống từ máy chủ mà không cần xác thực.

“Vì xác thực không được thực hiện khi sử dụng giao diện hệ thống, rào cản duy nhất cho việc chạy mã tùy ý trong BMC là liệu BMC có thực hiện xác minh chữ ký an toàn bằng mật mã của hình ảnh cập nhật firmware trước khi áp dụng bản cập nhật hay không. Thật không may, không phải tất cả các BMC đều thực hiện kiểm tra này và ngay cả khi được thực hiện, phần mềm độc hại có thể khai thác các lỗ hổng trong firmware của BMC để vượt qua nó,” các nhà nghiên cứu lưu ý.

Các nhà nghiên cứu cho biết, khi firmware làm nền tảng cho cả hệ điều hành máy chủ và các lớp ảo hóa của máy chủ, bất kỳ bộ cấy nào cũng có thể phá vỡ mọi kiểm soát và các biện pháp bảo mật chạy ở các lớp cao hơn một cách dễ dàng.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Khai thác Cloudbourne cho phép tin tặc tấn công vào máy chủ đám mây
POWERED BY ONECMS - A PRODUCT OF NEKO