2021/12/29

HPE iLO で新たに発見された iLOBleed ルートキット

main boad cpu

2021 年 12 月 29 日 Josh Stuifbergen 著

イランのセキュリティ会社 Amnpardaz の研究者が、HPE iLO(Integrated Lights-Out)の管理モジュールにルートキットを発見しました。サーバに追加されるこのチップは、本来リモートから管理するためにサーバに追加されるもので、高い権限でシステムにアクセスできるようになります。機能としては、サーバ電源のオン / オフ、ハードウェアやファームウェアの設定、および追加の管理者機能などが含まれます。ルートキットについた名称「iLOBleed」は、iLO ファームウェアで発見されたマルウェアモジュール「Implant.ARM.iLOBleed.a」から来ています。これは、iLO に発見されたルートキットとしては初めてのものです。

攻撃者は Web UI 上でファームウェアの偽のアップグレード処理をシミュレートすることで、気づかれないようにアップデートを妨害していました。ただしバージョン番号は最新のものを表示していたものの、UI 上の画像が更新されていませんでした。

iLO の Web UI 比較(Amnpardaz 提供)

攻撃者は、存在が見つからないようにいくつかの対策を講じていました。偽の UI ページに加えて、偽の情報を記載した出力ログまで作成しています。研究者がマルウェアを発見した時点で、攻撃者はサーバの削除を開始しました。このおかげでマルウェアの検出が容易になったことから、これは悪手であったと研究者は考えています。しかし、このルートキットの作成には膨大な労力が費やされており、非常に技術も高く、政府のセキュリティ機関と連携していることが多い APT グループと同等の技術レベルであると考えられています。また、このマルウェアの主な目的は、サーバのドライブを消去し、その存在を隠すことであったと研究者は考えています。

マルウェアによって改変された複数のモジュール(Amnpardaz 提供)

iLO が搭載されているHPE のサーバは世界的に展開されていますが、このマルウェアがどの程度の影響を及ぼすかは不明です。レポートを読む限り、APT グループは特定の被害者をターゲットにしているため、作り出したマルウェアを第三者に使用させるつもりはないのかもしれません。それでも、Amnpardaz のレポート、またはこの記事の最後に記載されているアドバイスを参照し、被害を受ける前にサーバのセキュリティを確保することが最善策です。Amnpardaz は iLO ファームウェアの完全性を検証するツールの開発にも取り組んでいますので、今後も確認してください。

リスクがある iLO とサーバのバージョン
HPE ProLiant Server Generation 9 (G9)シリーズまたはそれ以前のサーバで使用されている、iLO4 およびそれ以前のバージョン。これらは、Trusted Root Key を組み込んだセキュアブート機構を搭載していないため、改ざんや感染の危険性があります。

ただし iLO の最新バージョンであってもダウングレードは可能なため、脆弱性があります。

また、最新の G10 シリーズであればデフォルト以外にも設定が可能ですが、そうでない場合はファームウェアのダウングレードが可能になっています。G10 以前のサーバでは、ファームウェアのダウングレードを防止する仕組みはありません。

iLO の感染方法
ルートキットがどのようにアクセスしたのかは確認されていませんが、研究者は 2 つの可能性があると考えています。それは、ネットワークポート、またはサーバのホスト OS への接続を経由するものです。これは管理者権限、またはルート権限を持つユーザにアクセスできる場合に実現可能です。iLO モジュールの電源を切ったり無効にしたりすることはできません。

保護対策(提供: Amnpardaz)

  • iLO ネットワークインターフェイスはオペレーティングネットワークに接続せず、完全に独立したネットワークを適宜構築してください。/li>
  • iLO ファームウェアのバージョンを定期的に HPE の最新公式リリースに更新してください。/li>
  • HP サーバで iLO のセキュリティ設定を行い、G10 サーバのダウングレードを無効にしてください。/li>
  • 多層防御の戦略を使用してリスクを低減し、iLO にアクセスされる前に侵入を検出してください。/li>
  • iLO スキャナツール* を定期的に使用して、iLO サーバファームウェアの現行バージョンに潜在する脆弱性、マルウェア、バックドアを検出してください。/li>

*Amnpardaz はスキャナツールの公開を予定していましたが、まだ公開されていません(2021 年 12 月 31 日現在)。

スパムメール対策機能強化のためのエンジン移行について(2021/4/1)