Rootkit iLOBleed Baru Menargetkan Server HP Enterprise dengan Serangan Penghapusan Data

  • Whatsapp
HP Rootkit Data Wiping Attacks
Rootkit iLOBleed Baru Menargetkan Server HP Enterprise dengan Serangan Penghapusan

News.nextcloud.asia –

Serangan Penghapusan Data Rootkit HP

Rootkit yang sebelumnya tidak diketahui telah ditemukan sedang mengarahkan perhatiannya pada Lampu Terintegrasi Hewlett-Packard Enterprise (iLO) teknologi manajemen server untuk melakukan serangan di alam liar yang merusak modul firmware dan menghapus data sepenuhnya dari sistem yang terinfeksi.

Penemuan, yang merupakan contoh pertama dari malware dunia nyata dalam firmware iLO, didokumentasikan oleh perusahaan keamanan siber Iran Amnpardaz minggu ini.

“Ada banyak aspek iLO yang menjadikannya utopia ideal untuk malware dan grup APT: Hak istimewa yang sangat tinggi (di atas semua tingkat akses dalam sistem operasi), akses tingkat yang sangat rendah ke perangkat keras, sama sekali tidak terlihat oleh orang lain. admin, dan alat keamanan, kurangnya pengetahuan dan alat secara umum untuk memeriksa iLO dan/atau melindunginya, kegigihan yang diberikannya agar malware tetap ada bahkan setelah mengubah sistem operasi, dan khususnya selalu berjalan dan tidak pernah dimatikan, “para peneliti dikatakan.

Pencadangan GitHub Otomatis

Selain mengelola server, fakta bahwa modul iLO memiliki akses luas ke semua firmware, perangkat keras, perangkat lunak, dan sistem operasi (OS) yang terpasang di server menjadikannya kandidat ideal untuk membobol organisasi yang menggunakan server HP, sekaligus memungkinkan malware untuk pertahankan kegigihan setelah reboot dan selamat dari instalasi ulang OS. Namun, modus operandi yang tepat yang digunakan untuk menyusup ke infrastruktur jaringan dan menyebarkan wiper masih belum diketahui.

Serangan Penghapusan Data Rootkit HP

Dijuluki iLOBleed, rootkit telah digunakan dalam serangan sejak 2020 dengan tujuan memanipulasi sejumlah modul firmware asli untuk secara diam-diam menghalangi pembaruan firmware. Secara khusus, modifikasi yang dilakukan pada rutin firmware mensimulasikan proses peningkatan firmware — dengan konon menampilkan versi firmware yang tepat dan menambahkan log yang relevan — padahal pada kenyataannya tidak ada pembaruan yang dilakukan.

“Ini saja menunjukkan bahwa tujuan malware ini adalah untuk menjadi rootkit dengan siluman maksimum dan untuk bersembunyi dari semua inspeksi keamanan,” kata para peneliti. “Sebuah malware yang, dengan bersembunyi di salah satu sumber daya pemrosesan paling kuat (yang selalu aktif), mampu menjalankan perintah apa pun yang diterima dari penyerang, tanpa pernah terdeteksi.”

Serangan Penghapusan Data Rootkit HP

Meskipun musuh tetap tidak teridentifikasi, Amnpardaz menggambarkan rootkit sebagai kemungkinan pekerjaan dari ancaman persisten tingkat lanjut (APT), sebuah penunjukan negara-bangsa atau kelompok yang disponsori negara yang menggunakan teknik peretasan terus menerus, rahasia, dan canggih untuk mendapatkan akses tidak sah ke sistem dan tetap di dalam untuk waktu yang lama tanpa menarik perhatian.

Mencegah Pelanggaran Data

HPE, dalam sebuah pernyataan yang dibagikan kepada The Hacker News mengatakan bahwa kerentanan yang dieksploitasi bukanlah hal baru dan telah diungkapkan dan ditambal oleh perusahaan pada tahun 2017. Mengingat bahwa versi iLO 4 dan sebelumnya lebih berisiko dimodifikasi dan terinfeksi oleh malware, perusahaan IT perusahaan menunjukkan bahwa pelanggan yang mengikuti tindakan korektif yang direkomendasikan atau telah meningkatkan ke iLO 5 tidak rentan terhadap eksploitasi.

Jika ada, pengembangan sekali lagi membawa keamanan firmware menjadi fokus yang tajam, yang mengharuskan pembaruan firmware yang dikirimkan oleh produsen segera diterapkan untuk mengurangi potensi risiko, jaringan iLO disegmentasi dari jaringan operasi, dan firmware dipantau secara berkala untuk tanda-tanda infeksi. .

“Poin penting lainnya adalah bahwa ada metode untuk mengakses dan menginfeksi iLO baik melalui jaringan maupun melalui sistem operasi host,” catat para peneliti. “Ini berarti bahwa meskipun kabel jaringan iLO benar-benar terputus, masih ada kemungkinan infeksi malware. Menariknya, tidak ada cara untuk mematikan atau menonaktifkan iLO sepenuhnya jika tidak diperlukan.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.