خلاصه:  نهان‌‍‍‍‍‍افزاری کشف شده است که یک ماژول بدافزاری با نام Implant.ARM.iLOBleed.a را به سفت‌افزار iLO اضافه می‌کند و تعدادی از ماژول‌های اصلی سفت‌افزار را نیز تغییر می‌دهد برای تأکید بر اهمیت امنیت سفت‌افزار iLO کافی است یادآوری کنیم که حمله به شبکه راه‌آهن ایران در تیرماه سال جاری، با کمک سوءاستفاده از آسیب‌پذیری‌های قدیمی همین سفت‌افزار بود.

 

در تیرماه ۱۴۰۰، راه‌آهن ایران مورد حمله سایبری‌ای قرار گرفت. در آن زمان وزیروقت، آقای آذری جهرمی، سوءاستفاده از آسیب‌پذیری‌های درگاه مدیریتی iLO سرورهای HP را عامل حمله معرفی کرد که البته آسیب‌پذیری‌های جدیدی نبود و سه سال پیش در مورد آن‌ها هشدار داده شده بود. اکنون گروه تحلیل بدافزار شرکت امن‌پرداز نهان‌‍‍‍‍‍افزاری را کشف کرده‌اند که یک ماژول بدافزاری با نام Implant.ARM.iLOBleed.a را به سفت‌افزار iLO اضافه می‌کند و تعدادی از ماژول‌های اصلی سفت‌افزار را نیز تغییر می‌دهد. به این ترتیب امکان به‌روزرسانی سفت‌افزار از بین می‌رود و دسترسی‌هایی به سخت‌افزار سرور ایجاد می‌شود که یکی از نتایج آن حذف کامل اطلاعات موجود روی دیسک‌های سرور است.

 سرورهای HPدارای یک ماژول مدیریتی به نام iLO مخفف Integreted Lights-Out هستند که به محض اتصال کابل برق روشن شده و یک سیستم عامل کامل اختصاصی را بارگذاری می‌کند. این ماژول با خاموش شدن سرور باز هم به کار خود ادامه می‌دهد و دارای دسترسی کاملی به کل سفت‌افزار، سخت‌افزار، نرم‌افزار و سیستم‌عامل سرور است و علاوه بر مدیریت سخت‌افزار سرور، به مدیر سیستم اجازه می‌دهد از راه دور سرور را روشن و خاموش نموده، به کنسول آن دسترسی داشته و حتی سیستم عامل روی آن نصب نماید. با ارتقا سیستم‌عامل نیز حذف نمی‌شود و می‌تواند برای مدت طولانی پنهان بماند. این روت‌کیت به صورت خاموش از به‌روزرسانی‌های سفت‌افزار جلوگیری می‌کند، در حالی که در صفحه نمایش ادعا می‌کند، به‌روزرسانی شده‌است. همچنین، دسترسی به سخت‌افزار سرور را فراهم می‌کند که به مهاجم اجازه می‌دهد تا هارد دیسک را به طور کامل پاک کند.

ماژول iLO مدیران را قادر می‌سازد تا از راه دور بسیاری از سرورهای ProLiant را به صورت یکپارچه، از هر کجای دنیا پیکربندی، نظارت و به‌روز رسانی کنند. ProLiant  برندی از کامپیوترهای سروری است که در ابتدا توسط Compaq تولید و  توسط HP  به بازار عرضه شد. مجوزهای به‌روزرسانی شده می‌توانندکنسول گرافیکی، همکاری چند کاربره، ضبط و پخش ویدیو، مدیریت از راه دور و موارد دیگر را اضافه کنند. گزارش محققان خاطر نشان می‌کند که iLO به تمام سیستم عامل‌ها، سخت افزارها، نرم‌افزارها و سیستم عامل‌های نصب شده روی سرور دسترسی کامل دارد. در نتیجه، iLO یک محیط ایده‌آل برای بدافزارها و گروه‌های APT است، زیرا دسترسی سطح بالایی در سیستم دارد. اطلاعات برای بررسی iLO و محافظت از آن کم است. همچنین، iLO همیشه در حال اجرا است. از طرفی در گزارش امن‌پرداز آمده است که دسترسی و آلوده کردن iLO نه تنها از طریق پورت شبکه iLO، بلکه از طریق دسترسی مدیر سیستم یا دسترسی ریشه به سیستم عامل اصلی امکان پذیر است. این بدان معناست که اگر مزاحمی به شناسه کاربری با نقش مدیر یا ریشه به سیستم عامل اصلی نصب شده روی سرور دسترسی داشته باشد، می‌تواند بدون نیاز به احراز اصالت بیشتر، مستقیماً با iLO ارتباط برقرار کند و در صورت آسیب‌پذیر بودن آن را آلوده کند.

در نسخه‌های iLO4 و قبلتر که در سرورهای G9 و ماقبل استفاده می‌شوند، مکانیزم بوت امن با داشتن کلید ریشه معتمد در سخت‌افزار وجود نداشته و سفت‌افزار این نسخه‌ها توسط بدافزار قابل تغییر و آلوده شدن می‌باشد. حتی در صورت به‌روزرسانی iLO به آخرین نسخه مربوطه که آسیب‌پذیری شناخته شده‌ای نداشته باشد، باز هم امکان دانگرید آن به نسخه‌های پایین‌تر آسیب‌پذیر وجود دارد. این موضوع در کلیه سرورهای HP وجود داشته و فقط در سری G10 به شرط فعال نمودن یک تنظیم غیرپیش‌فرض قابل جلوگیری مي‌باشد. در سایر سرورها، امکان جلوگیری از دانگرید و آلوده شدن سرور وجود ندارد. قطع کامل کابل شبکه iLO یا ارتقاء سیستم عامل به آخرین نسخه برای جلوگیری از آلودگی بدافزار کافی نیست.

تشخیص آلودگی

اگر می‌خواهید بدانید که سرور شما آلوده شده است یا خیر، یک راه تشخیص ساده برای آلودگی وجود دارد. این بدافزار جهت حفظ استتار و ماندگاری خود بعد از آپگرید سفت‌افزار، عملیات را شبیه‌سازی می‌کند. اگر چه بدافزار تلاش می‌کند که با برداشتن شماره نسخه سفت‌افزار آپگرید شده و نمایش آن در محل‌های مختلف از جمله صفحه اصلی لاگین iLO، روند آپگرید را موفق جلوه بدهد، اما یک نکته وجود دارد اینکه شرکت HP در رابط کاربری iLO تغییرات چشم‌گیری داده است. بنابراین تشخیص یک سفت‌افزار نادرست به سادگی با چشم ممکن است.

در شکل ۱ می‌توان مقایسه دو صفحه لاگین واقعی و جعلی (آلوده شده توسط بدافزار) را مشاهده کرد. عوامل تهدیدی که در این بدافزار قرار دارند، به سرعت عمل کرده و گرافیک را تغییر داده‌اند. هر دو صفحه اعلام می‌کنند که  iLOنسخه ۲.۵۵ هستند اما صفحه لاگین آلوده، در واقع صفحه لاگین مربوط به iLO قدیمی ۲.۳۰ می‌باشد و فقط شماره نسخه آن توسط بدافزار جعل شده است.

شکل۱: مقایسه صفحه لاگین جعلی با صفحه لاگین واقعی iLO

wiperها دسته‌ای از بدافزارها است که قصد دارند هارد دیسک رایانه‌ای را که آلوده می‌کند، پاک کنند. این بدافزار برخلاف سایر بدافزارهای Wiper که صرفا به تخریب اطلاعات می‌پردازند، به قصد یکبار اجرا و ضربه زدن ایجاد نشده است بلکه به گونه‌ای طراحی شده که با جلوگیری از ارتقاء سیستم عامل، iLO  برای مدت طولانی در سیستم می‌ماند. حتی شماره نسخه دقیق سیستم عامل فعلی استخراج شده و در مکان‌های مناسب در کنسول وب و سایر مکان‌ها نمایش داده می‌شود. این اتفاق به تنهایی نشان می‌دهد که هدف این بدافزار این است که یک روت‌کیت با حداکثر مخفی کاری باشد و از همه بررسی‌های امنیتی پنهان شود. بدافزاری که با پنهان شدن در یکی از قدرتمندترین منابع پردازشی که همیشه روشن است، می‌تواند هر دستور دریافتی از مهاجم را بدون شناسایی اجرا کند.

محافظت در برابر نهان‌افزار

برای حفاظت از این آسیب‌پذیری، کارشناسان فناوری اطلاعات زیر را توصیه می‌کنند:

• عدم اتصال واسط شبکه iLO به شبکه عملیاتی و اختصاص یک شبکه کاملا مجزا
• به‌روزرسانی دوره‌ای نسخه سفت‌افزار iLO به آخرین نسخه رسمی ارائه شده توسط شرکت HP
• غیر فعال نمودن امکان دانگرید و انجام تنظیمات امنیتی iLO روی سرورهای نسل دهم HP
• استفاده از تجهیزات امنیتی دفاع در عمق جهت کاهش ریسک و کشف نفوذها قبل از رسیدن به iLO