2019年03月01日 | 黑客或可将隐形恶意软件植入“裸机”云主机当中

安全领域中的坚定保守派们一直警告称，一旦计算机落入陌生人手中，那么这些设备将不再值得信任。如今，一家公司的研究人员已经证明，在某些情况下，同样的论断也适用于我们根本无法触及的某些计算设备——云服务器。

本周二，安全厂商Eclypsium公司的研究人员公布了一项实验结果，他们表示对于某类特定云计算服务器，完全可以通过某种狡猾的方式进行入侵：他们可以从云计算供应商处租用服务器——他们在实际测试中选择了IBM云服务——而后变更其固件，隐藏对代码的更改，从而在租用期限截止后将变更延续至另一位租用同一台机器的客户。

虽然在演示当中，他们仅仅只对IBM服务器的固件进行了良性发动，但他们警告称同样的技术完全可以被用于在服务器的隐藏代码内植入恶意软件。如此一来，即使其他人接管机器，也仍然无法检测到这些代码。这意味着黑客将能够借此架设间谍服务器、变更其中的数据，甚至根据心情将信息销毁。

Eclypsium公司创始人兼前英特尔高级威胁研究小组负责人Yuriy Bulygin解释称，“当组织使用公有云基础设施时，他们实际上是在借用服务商提供的设备，其中可能包括采购自Ebay的二手设备。这些机器也许在正式使用之前就已经受到了感染。通过类似的方式，如果云服务供应商无法立足底层对全部设备进行清理，包括其中的固件，那么该设备可能长期保持受感染状态。”

云控制难题

Eclypsium公司的研究人员们明确指出，这种云设备清洁问题不会对所有云服务器产生影响。典型的云计算设置会将每位客户的计算环境转换为所谓虚拟机，这类似于计算机内部的一种密封运行环境。虽然使用同样的服务器实体硬件，但这些虚拟机与该设备上的其它客户虚拟机彼此隔离。

然而，无论是亚马逊、甲骨文还是Rackspace，各大云服务厂商皆提供所谓裸机服务器，这意味着客户能够租用并全面控制整体计算机，从而提高性能或者得到预期中的更高安全性水平。IBM公司目前拥有数千家企业客户，他们利用裸机执行着各类日常任务——包括视频会议托管、移动支付乃至神经刺激治疗等等。

通过以裸机设置方式租用计算机，攻击者将能够获得风险更高的组件访问级别，而这些组件完全可用于将恶意软件传递给该服务器的下一位租用者。Bulygin表示，“这时问题就变得相当严重，而且裸机服务的恶意利用难度要比虚拟机低得多。”

无论是出于研究目的还是为了筹备真实入侵，黑客们已经用多年的时间证明，一切固件都完全可以为恶意代码提供隐藏的立足点——无论其芯片有多么有限，包括U盘乃至常见的磁盘驱动器等。这类感染能够躲过一切反病毒工具的扫描，甚至能够在对计算机存储内容的全面清理之后仍然顽强存在。

Eclypsium公司的研究人员们此次利用的，是由Super Micro公司为IBM提供的、用于向客户提供裸机云计算服务的固件，名为基板管理控制器——简称BMC。BMC用于远程监控并管理服务器，其拥有极为全面的功能，包括访问计算机内存乃至变更其操作系统等。在以往的研究当中，Eclypsium公司甚至已经证明，攻击者可以利用遭受入侵的BMC对其它组件的固件进行重写，最终利用目标计算机执行特定计算任务或者创造通道以发动潜在的勒索软件攻击。

“一旦固件受到感染，我们将无法判断设备到底仍然受到感染，还是已经恢复正常。”——Karsten Nohl，安全研究实验室

在他们的实验当中，Eclypsium的研究人员们租用了一台IBM裸机云服务器，而后对其中的BMC固件进行了一番无害更改——仅仅修改了代码当中的一个bit。在此之后，他们停止租用这台服务器，并将其释放至IBM的可用机器资源池中供其他客户使用。几个小时之后，他们租用了大量服务器以再次获得同一台服务器，并通过主板序列号外加其它唯一标识将其找到。他们发现，尽管IBM方面称这是一台“全新”设备，但BMC固件的更改仍然存在于其中。

Bulygin指出，“固件受到的感染是持久性的，且不会因为对整体软件堆栈重新进行镜像安装而消失。”虽然这一次研究人员只进行了一点小小的良性改变，但他们表示利用同样的方法，真正的恶意分子将能够轻松隐藏真正的恶意固件。

无法判断是否存在感染

为了回应Eclypsium方面的研究结果，IBM公司发布了一份声明，将此项漏洞视为“低威胁”水平。但其同时承诺，未来将会在不同用途的客户使用场景之间认真清理服务器上的BMC固件：“IBM公司通过强制清理所有BMC应对此项漏洞可能利用的固件，包括报告中涉及的最新固件。在重新配置并交付其他客户使用之前，我们将使用出厂恢复工具重新刷新固件。此项操作将清除BMC固件中的全部日志，同时重新生成BMC固件的所有密码。”

截至本周一晚，Eclypsium公司的研究人员们表示其仍然能够实现自己发现的感染方法，这也意味着IBM方面的修复工作仍然没有得到落实。但IBM公司的一位发言人在接受采访时指出，“修复工作已经交付实施，我们正在处理积压工作。”

即使如此，其它关注固件方向的研究人员对于IBM公司为此项漏洞发布的“低威胁”标签以及提出的修复方案持怀疑态度。Karsten Nohl曾开发出所谓BadUSB攻击，其能够悄悄修改U盘上的固件。

Nohl指出，BMC固件的可更改特性意味着黑客将具有控制目标服务器的通道，亦能够在管理员试图重新刷新时“欺骗对方”——即通过提示信息表明自身已经完成更新，但实际上却并没有删除恶意代码。Nohl表示，“一旦固件受到感染，我们将没有办法判断其仍然受到感染，或者已经恢复正常。”另一位著名固件黑客H．D．Moore认为，只需要在服务器上添加一块硬件来检查固件的完整性，就能够彻底解决这个问题。

关于这方面情况，IBM公司拒绝回应我们提出的、关于可靠固件更新难度的问题。由于Eclypsium方面仅测试了IBM的裸机服务器产品，因此目前尚不清楚其它云服务厂商是否也会受到同一固件问题的影响。

好消息是，Nohl认为裸机服务器只占云服务家族中的一小部分，而虚拟化服务器则很难通过这种固件方法进行攻击。然而，存在这种易受攻击的可能性毕竟会让用户的心里感到不舒服。Nohl总结称，“其影响到的只是特定的利基市场。但利基与否并不是重点。即使是对于利基市场而言，这也是一种值得高度重视的攻击可能，更可怕的是我们无法通过简单的方法加以解决。”