伊朗安全公司 Amnpardaz 的研究人員在 HPE iLO 的管理模塊中發(fā)現(xiàn)了 rootkit。 添加到服務(wù)器的芯片最初是添加到服務(wù)器進(jìn)行遠(yuǎn)程管理的，允許以高權(quán)限訪問系統(tǒng)。 功能包括打開和關(guān)閉服務(wù)器電源、硬件和固件設(shè)置以及其他管理員功能。 rootkit 上的名稱"iLOBleed"來自在 iLO 固件中發(fā)現(xiàn)的惡意軟件模塊"映像.ARM.iLOBleed.a"。 這是第一個在 iLO 中發(fā)現(xiàn)的 rootkit。 

攻擊者通過在 Web UI 上模擬固件的假升級過程來阻止更新，使其不被注意到。 但是，版本號是最新的，但 UI 上的圖像尚未更新。 

真假iLO 的 Web UI 比較（由 Amnpardaz 提供） 

攻擊者采取了一些措施來防止發(fā)現(xiàn)存在。 除了虛假的 UI 頁外，還創(chuàng)建包含虛假信息的輸出日志。 當(dāng)研究人員發(fā)現(xiàn)惡意軟件時，攻擊者開始刪除服務(wù)器。  然而，創(chuàng)建這個 rootkit 投入了大量精力，技術(shù)含量很高，并且通常與政府安全機(jī)構(gòu)合作，被認(rèn)為與 APT 組織的技術(shù)水平相當(dāng)。 研究人員還認(rèn)為，這種惡意軟件的主要目的是擦除服務(wù)器的驅(qū)動器并隱藏其存在。 

具有 iLO 的 HPE 服務(wù)器世界各地都在使用，但不清楚此惡意軟件的影響程度。 最好參考 Amnpardaz 報告或本文末尾提供的建議，以確保服務(wù)器在損壞之前是安全的。 Amnpardaz 還致力于開發(fā)工具來驗(yàn)證 iLO 固件的完整性，因此請持續(xù)關(guān)注。

什么iLO 和服務(wù)器版本存在風(fēng)險*

HPE 代理服務(wù)器Gen9 （G9） 系列或早期版本使用 iLO4 以及早期版本的服務(wù)器。 它們沒有內(nèi)置受信任的根密鑰的安全啟動機(jī)制，因此存在篡改和感染的風(fēng)險。 但是，即使是最新版本的 iLO 也可能降級，因此存在漏洞。 此外，最新的 G10 系列還可以通過配置降級固件。 在 G10 或更早的服務(wù)器上，沒有防止固件降級的機(jī)制。 

如何感染 iLO rootkit*

我們尚未確定 rootkit 是如何訪問的，但研究人員認(rèn)為有兩種可能性：通過網(wǎng)絡(luò)端口或連接到服務(wù)器的主機(jī)操作系統(tǒng)。 如果您有權(quán)訪問具有管理員權(quán)限或根權(quán)限的用戶，則這是可能的。 您不能關(guān)閉或禁用 iLO 模塊。 

保護(hù)措施（提供者： Amnpardaz） 
iLO 網(wǎng)絡(luò)接口不應(yīng)連接到業(yè)務(wù)網(wǎng)絡(luò)，而應(yīng)相應(yīng)地構(gòu)建完全獨(dú)立的網(wǎng)管網(wǎng)絡(luò)。
定期將 iLO 固件版本更新到 HPE 的最新版本。
在 HP 服務(wù)器上設(shè)置 iLO 安全設(shè)置，并禁用 G10 服務(wù)器的降級。
使用縱深防御策略來降低風(fēng)險，并在訪問 iLO 之前檢測入侵。
定期使用 iLO 掃描程序工具*來檢測當(dāng)前版本的 iLO 服務(wù)器固件是否存在潛在漏洞、惡意軟件和后門。
Amnpardaz 計劃發(fā)布掃描工具，但尚未發(fā)布（截至 2021 年 12 月 31 日）。

原文：https://www.watchguard.co.jp/security-news/hp-ilo-and-the-newly-discovered-ilobleed-rootkit.html