在其环境中使用 HPE服务器的管理员被警告说，rootkit 正在传播，它利用 Integrated Lights Out (iLO) 管理实用程序中的漏洞擦除硬盘驱动器。

一家名为 Amnpardaz Soft Co. 的伊朗应用程序供应商的一份报告称，它无法通过固件升级删除，并且可以隐藏很长时间。

报告称，这种名为 iLOBleed 的恶意软件已被黑客“使用了一段时间”。Rootkit 在 iLO 固件中添加了一个名为 Implant.ARM.iLOBleed.a 的恶意模块，并修改了许多原始固件模块。rootkit 会在假装完成固件更新的同时默默地阻止固件更新。它还提供对服务器硬件的访问，这可以让攻击者完全擦除服务器磁盘。

iLO 使管理员能够从世界任何地方无缝地远程配置、监控和更新许多 ProLiant 服务器。升级后的许可证添加了图形远程控制台、多用户协作、视频录制/回放、远程管理等。

研究人员的报告指出，iLO 可以完全访问服务器上安装的所有固件、硬件、软件和操作系统。因此，他们说 iLO 是“恶意软件和 APT 组的理想乌托邦”，因为获得批准的用户可以获得高权限，并且“普遍缺乏检查 iLO 和/或保护 iLO 的知识和工具”。此外，iLO 始终在运行。

报告称，不仅可以通过 iLO 网络端口访问和感染 iLO，还可以通过系统管理员或 root 访问主操作系统。这意味着，如果入侵者可以访问对安装在服务器上的主操作系统具有管理员/root 权限的用户 ID，它可以（无需任何进一步身份验证）直接与 iLO 通信，并在它易受攻击时感染它。

该报告称，最大的风险是 iLO4 及其在 HP G9 及以下DL388Gen10服务器上使用的早期版本。这是因为硬件中没有嵌入可信根密钥的安全启动机制，因此这些版本的固件更容易被恶意软件修改和感染。

然而，研究人员补充说，即使 iLO 已经更新到没有任何已知漏洞的最新版本，它仍然可能降级到较低版本，这使得感染完全修补的固件成为可能。如果启用了非默认设置，则可以在 G10 系列服务器中防止这种情况。在较早的服务器上，无法阻止降级机制。

报告补充说，完全断开 iLO 网络电缆或将固件升级到最新版本不足以防止恶意软件感染。

从好的方面来说，有一种检测妥协的相对简单的方法：当恶意软件默默地阻止合法的 iLO 固件升级过程时，它会在 Web UI 中显示一个虚假的“升级”版本。但是，HPE 显着改变了 iLO 的 UI，如下所示。

但是，此恶意软件背后的威胁行为者可能会迅速流行并改变图形。

HPE机架式服务器报告称，与其他“wiper”恶意软件不同，这不是一次性攻击。它旨在通过防止 iLO 固件升级而长时间保持低调；甚至当前固件的确切版本号也被提取并显示在 Web 控制台和其他位置的适当位置。

报告称：“仅此一项就表明，该恶意软件的目的是成为具有最大隐蔽性并躲避所有安全检查的 rootkit。” “一种恶意软件，通过隐藏在最强大的处理资源之一（始终开启）中，能够执行从攻击者那里收到的任何命令，而不会被发现。”

对于防御，研究人员推荐 IT 团队

不将 iLO 网络接口连接到操作网络并临时搭建一个完全独立的网络；

定期将 iLO 固件版本更新为 HPE 的最新官方版本；

在 HP工作站上配置 iLO 安全设置，并禁用 G10 服务器的降级；

在到达 iLO 之前使用纵深防御策略来降低风险和检测入侵；

并定期使用 iLO 扫描程序工具检测当前版本的 iLO 服务器固件中的潜在漏洞、恶意软件和后门程序。

【公司名称】四川旭辉星创科技有限公司

【代理级别】成都惠普HPE服务器工作站总代理

【销售经理】熊经理

【联系方式】座机：028-85596747    手机：18244236404

【公司地址】成都市人民南路4段 桐梓林 商鼎国际2号楼1单元1913