Benchmarks Brawte nfaq 0 Comments

IBM SoftLayerがベアメタルボックスのファームウェアから潜伏するスパイを除去できなかったため、クラウドサーバーのセキュリティに警鐘が鳴らされる

Table of Contents

IBM SoftLayerがベアメタルボックスのファームウェアから潜伏するスパイを除去できなかったため、クラウドサーバーのセキュリティに警鐘が鳴らされる

ベアメタルサーバーを貸し出すクラウドプロバイダーは、導入の合間にサーバー上の書き込み可能なストレージを最後の1バイトまで確実に消去する必要があると、情報セキュリティ企業のエクリプシウムは強く求めている。

そうしないと、悪意のある顧客がマザーボードのフラッシュ メモリにスパイウェアやその他のマルウェアを隠し、次のユーザーがマシンの電源を入れたときに密かに起動する可能性があります。

Eclypsiumは本日、IBMのSoftLayerを中心としたケーススタディを公開しました。これは、顧客にスーパーユーザーレベルのアクセス権をオフプレミス専用ハードウェアに付与することで、ファームウェアレベルの感染による攻撃の危険にさらされる可能性があることを示すものです。ちなみに、Eclypsiumはファームウェアセキュリティソリューションも販売しています。

Eclypsiumの説明によると、問題は、悪意のある人物がプロバイダーからベアメタルサーバーインスタンスをレンタルし、UEFIや​​BMCコードなどのファームウェアレベルの脆弱性を悪用してマシンに永続性を獲得し、そのサーバーのその後の使用をすべて密かに監視できるようになることだ。言い換えれば、ホストOSやウイルス対策ソフトの下位層で動作し、それらの監視下にないサーバーのマザーボードソフトウェアにスパイウェアを注入することで、将来そのマシンを借りたユーザーが密かに監視されるようになるのだ。

理想的には、このような事態は起こらないようにし、新しい顧客に解放されたノードが割り当てられる前に、ファームウェア ストレージが完全に消去され、元の状態に復元されるようにする必要がありますが、どうやらこの種の攻撃は可能のようです。

OpenBMCのBMCは「Burglarize My Computer(コンピュータを盗む)」の略である。厄介なセキュリティ欠陥のせいで

続きを読む

Eclypsium のチームは、自らの理論を証明するために、IBM が所有するクラウド プラットフォームである SoftLayer を調査し、Big Blue のベアメタル サーバーの一部が、さらなる悪意ある行為に悪用される可能性のある脆弱な Supermicro BMC ファームウェアを使用していることを発見しました。

「私たちの目標は、デバイスへのアクセスを取得し、小さな変更を加え、IBMに返却して復旧させ、その後、別のユーザーアカウントから同じデバイスを再度取得し、復旧プロセスを経ても変更が残っているかどうかを確認することでした」と、Eclypsiumチームは火曜日に説明した。「最初の調査で、特定の種類のハードウェアが少量しか供給されていないと思われるSoftLayerデータセンターを特定しました。」

実際、研究者たちはSoftlayerクラウドでベアメタルサーバーを入手し、基盤となるBMCファームウェアを変更し、そのサーバーを他の人が使用できるように解放し、ハードウェアのシリアル番号を追跡することで、サーバーの再プロビジョニングを待つことでファームウェアの変更がまだ有効かどうかを確認できることを発見しました。そして、実際に有効でした。BMCはベースバンド管理コントローラー(Baseband Management Controller)であり、システムへのフルアクセス権を持つ、リモート制御可能なサーバーの管理者です。

これは、サーバーが放棄され、消去され、次の顧客に貸し出され、その後再び取得された後、基盤となるファームウェアがリセットされていなかったことを示しています。

実環境では、攻撃者、あるいはおそらく攻撃者グループが特定のクラウドコンピューティングサービスを監視し、企業データを盗む可能性があります。短期的には、悪意のある人物がファームウェアを破壊して大量のサーバーを破壊することも可能です。

Eclypsiumは、9月にIBMに脆弱性について通知したが、12月以降はIBMから返答がないと主張している。Eclypsiumが今週調査結果を公表する予定の前日、IBMはオンラインでアドバイザリを公開し、情報セキュリティの新興企業Eclypsiumの懸念に対応したことを明らかにした。

SoftLayerではこの問題は解決されたように見えるものの、根本的な問題は単一のIBMサービスにとどまらず、他のベアメタルプロバイダーにも波及する可能性があると主張されています。「当社のケーススタディはIBM SoftLayerテクノロジーに基づいていますが、これは特定のサービスプロバイダーに限った問題ではありません」とEclypsiumは説明しています。

「ファームウェアの脆弱性と脅威の問題はすべてのサービスプロバイダーに当てはまります。クラウドサービスの重要性が高まっていることから、この分野の研究は今後も非常に活発に続くと予想されます。」

こうしたシナリオを心配している顧客には、ベアメタル ボックス プロバイダーについて少し調べることをお勧めします。これには、ファームウェアの脆弱性と永続性をチェックするためのテスト インスタンスの実行、可能であれば、すべてのサーバーのマザーボード フラッシュをクリーン イメージで再フラッシュして、使用中に変更がないか監視することなどが含まれます。

大手企業はいずれにしてもこれを行っていると思われますが、確認してみるのも良いでしょう。

一方、サービス プロバイダーは、ベア メタルの再展開を行う前に必ずマシンのファームウェアを再フラッシュする手順を開発する必要があります。®

Benchmarks

Smart Recommendations

Discover More