Rootkit schlüpft durch Lücke in HPEs Fernwartung iLO
Eine Iranische Security-Firma hat ein Rootkit entdeckt, das sich in Hewlett Packards Fernwartungstechnik "Integrated Lights-Out" (iLO) eingenistet hat.
(Bild: Hewlett Packard Enterprise)
- Peter Siering
Hinter der von Compaq entwickelten und von Hewlett Packard Enterprise (HPE) genutzten Fernwartungstechnik "Integrated Lights-Out" (iLO) steckt wie bei den meisten derartigen Serverkomponenten ein eigener Computer, der über das Netzwerk erreichbar ist. Er kann den Server fernsteuern und ihn nicht nur ein- und ausschalten, sondern auch fernbedienen, Betriebssysteme installieren und sogar seine Firmware aktualisieren. Der Zugriff auf iLO kann über eine separate Netzwerkkarte erfolgen, aber auch aus einem installierten Betriebssystem heraus. Abschaltbar ist die Funktion nicht, sondern aktiv, sobald ein Server Strom erhält.
Schädling trickst Update-Funktion aus
(Bild: Report von Amnpardaz)
Die von der Firma Amnpardaz analysierte "Implant.ARM.iLOBleed.a"-Malware in der HPE-iLO-Firmware war so gebaut, dass sie regelmäßig sämtliche Datenträger des Servers löschte. Selbst wenn ein Admin den Server also neu aufgesetzt hat, zerstörte der Eindringling seine Arbeit nach einer Weile erneut. Updates der iLO-Firmware können dem Schädling laut Amnpardaz nichts anhaben: Er trickst die Update-Funktion aus, indem er einen Erfolg zurückmeldet. Obendrein manipuliert er die Versionsnummer, die die Weboberfläche anzeigt. So wiegen sich Admins in falscher Sicherheit.
In ihrem ausführlichen Papier fieseln die Entdecker auseinander, wie sich die Malware in iLO festsetzt. Sie legt unter anderem die von HPE vorgesehenen Mechanismen still, die Signaturen der geladenen Module überprüfen. Für die Untersuchung haben die Entdecker eigene Werkzeug entwickelt, um aus dem installierten Betriebssystem eines Servers heraus, die iLO-Firmware auszulesen; HPE stellt nur Werkzeug bereit, um sie zu von dort aus zu aktualisieren. Außerdem entstand ein Netzwerkscanner, der sich Sicherheitslücken in iLO 2.30 bis 2.50 zu Nutze macht. Die Werkzeuge wollen die Entdecker noch veröffentlichen.
In dem veröffentlichten Papier finden sich die üblichen Hinweise zur Absicherung von iLO und anderer Fernwartungstechnik für Server: Diese sollte nur in abgeschotteten, lokalen Netzwerken erreichbar sein. Passwörter für den Fernzugang sollten geändert und individuell vergeben werden. Die iLO-Firmware sollte stets aktuell sein. In modernen Versionen (ab G10-Servern) sollte der Firmware-Downgrade verboten sein (ältere Versionen erlauben den, was ein weiteres Einfalltörchen darstellt). Und: Admins sollten sich bewusst sein, dass Malware eben auch im iLO hocken kann.
[Update:] Laut HPE wurde die Schwachstelle in der iLO-4-Firmware im Wesentlichen schon 2017 unter CVE-2017-12542 gemeldet. Sie ist in iLO-4-Firmware-Versionen ab 2.56 geschlossen. (ps)
