Một lỗ hổng mới được phát hiện bởi các nhà nghiên cứu bảo mật có thể cho phép tin tặc cài đặt các backdoor (hay còn gọi là “cửa hậu”) vào firmware của máy chủ đám mây bare-metal server (hay còn gọi là máy chủ vật lý riêng) đang hoạt động ngay cả khi khách hàng sử dụng phần cứng được tái chỉ định ở nơi khác.
Cloudbourne, tên gọi của lỗ hổng, lần đầu tiên được phát hiện bởi các nhà nghiên cứu tại Eclypsium Research Team, nhóm nghiên cứu đã trình bày chi tiết phát hiện của họ trong một bài đăng trên blog. Họ phát hiện ra tin tặc có thể cấy các cửa hậu và phần mềm độc hại vào firmware của máy chủ hoặc trong bộ điều khiển quản lý bảng điều khiển (BMC) một cách dễ dàng.
Các BMC này cho phép quản lý từ xa máy chủ trong dự liệu ban đầu, cài đặt lại hệ điều hành và xử lý sự cố. Cloudbourne khai thác một lỗ hổng trong quy trình cải tạo phần cứng trên máy tính khi di chuyển khách hàng ra vào một máy chủ vật lý riêng.
Mặc dù các máy chủ vật lý chỉ dành riêng cho một khách hàng tại một thời điểm, nhưng khách hàng không tồn tại mãi mãi, các nhà nghiên cứu cho biết. Máy chủ được cung cấp và thu hồi theo thời gian và do vậy, chuyển từ khách hàng này sang khách hàng khác.
Firmware của phần cứng không bị thay đổi trong quá trình cải tạo, cho phép các cửa hậu tồn tại dai dẳng. Một hacker sử dụng một lỗ hổng đã biết trong phần cứng Supermicro để viết lại BMC và lấy được quyền truy cập trực tiếp vào phần cứng.
Các nhà nghiên cứu cho biết, tin tặc “có thể chi một khoản tiền rất nhỏ để truy cập vào máy chủ, cấy phần mềm độc hại ở UEFI, BMC hoặc thậm chí ở cấp bộ phận, như trong các ổ đĩa hoặc bộ điều hợp mạng. Sau đó, kẻ tấn công có thể trả phần cứng lại cho nhà cung cấp dịch vụ và phần cứng đó có thể lại được sử dụng cho một khách hàng khác.”
Nhóm nghiên cứu nói thêm rằng với khả năng điều khiển máy chủ BMC, mọi lỗ hổng của firmaware có thể cung cấp quyền truy cập vào các công cụ mạnh mẽ cho kẻ tấn công khai thác.
Họ cho biết bản chất của các ứng dụng và dữ liệu được lưu trữ trên các máy chủ vật lý mở ra cơ hội cho các kịch bản tấn công có tác động cao xảy ra.
Những kịch bản này bao gồm sự gián đoạn ứng dụng, trong đó một bộ cấy độc hại ở cấp BMC có thể vô hiệu hóa vĩnh viễn một máy chủ; đánh cắp dữ liệu, vì nó cung cấp cho kẻ tấn công một cách thức có thể dễ dàng đánh cắp hoặc chặn dữ liệu; và các cuộc tấn công tống tiền, vì những kẻ tấn công đương nhiên sẽ có khả năng nắm giữ các tài sản có giá trị.
Cửa hậu cũng có thể xâm phạm các phần khác của cơ sở hạ tầng đám mây. Ví dụ, tin tặc có thể gửi các lệnh IPMI (Intelligent Platform Management Interface – Giao diện quản lý nền tảng thông minh) độc hại qua các giao diện hệ thống từ máy chủ mà không cần xác thực.
“Vì xác thực không được thực hiện khi sử dụng giao diện hệ thống, rào cản duy nhất cho việc chạy mã tùy ý trong BMC là liệu BMC có thực hiện xác minh chữ ký an toàn bằng mật mã của hình ảnh cập nhật firmware trước khi áp dụng bản cập nhật hay không. Thật không may, không phải tất cả các BMC đều thực hiện kiểm tra này và ngay cả khi được thực hiện, phần mềm độc hại có thể khai thác các lỗ hổng trong firmware của BMC để vượt qua nó,” các nhà nghiên cứu lưu ý.
Các nhà nghiên cứu cho biết, khi firmware làm nền tảng cho cả hệ điều hành máy chủ và các lớp ảo hóa của máy chủ, bất kỳ bộ cấy nào cũng có thể phá vỡ mọi kiểm soát và các biện pháp bảo mật chạy ở các lớp cao hơn một cách dễ dàng.