AccueilSécuritéUn rootkit se faufile à travers une faille dans le service de...

Un rootkit se faufile à travers une faille dans le service de télémaintenance iLO de HPE

Derrière la technique de maintenance à distance « Integrated Lights-Out » (iLO) développée par Compaq et utilisée par Hewlett Packard Enterprise (HPE) se cache, comme pour la plupart des composants de serveur de ce type, un ordinateur dédié accessible via le réseau. Il peut contrôler le serveur à distance et non seulement l’allumer et l’éteindre, mais aussi le commander à distance, installer des systèmes d’exploitation et même actualiser son firmware. L’accès à iLO peut se faire via une carte réseau séparée, mais aussi à partir d’un système d’exploitation installé. La fonction n’est pas désactivable, mais active dès qu’un serveur est alimenté en électricité.

iLO-Anmeldedialog im Web-Browser

iLO permet de gérer un serveur à distance depuis le navigateur. Les chercheurs en sécurité ont découvert que le malware falsifiait le numéro de version sur la page de connexion, mais ne reproduisait pas la modification visuelle effectuée par HP.

(Image : Rapport d’Amnpardaz)

Le malware « Implant.ARM.iLOBleed.a » analysé par la société Amnpardaz dans le firmware HPE-iLO était construit de telle sorte qu’il effaçait régulièrement tous les supports de données du serveur. Ainsi, même si un administrateur réinitialisait le serveur, l’intrus détruisait à nouveau son travail après un certain temps. Selon Amnpardaz, les mises à jour du firmware iLO n’ont aucun effet sur le malware : Il ruse avec la fonction de mise à jour en renvoyant un message de succès. De plus, il manipule le numéro de version affiché sur l’interface web. Les administrateurs se bercent ainsi d’une fausse sécurité.

Dans leur document détaillé, les découvreurs expliquent comment le malware s’installe dans iLO. Il bloque entre autres les mécanismes prévus par HPE pour vérifier les signatures des modules chargés. Pour l’enquête, les découvreurs ont développé leurs propres outils pour lire le firmware iLO à partir du système d’exploitation installé sur un serveur ; HPE ne fournit que des outils pour le mettre à jour à partir de là. En outre, un scanner de réseau a été créé pour exploiter les failles de sécurité d’iLO 2.30 à 2.50. Les outils doivent encore être publiés par les auteurs de la découverte.

Dans le document publié, on trouve les conseils habituels sur la sécurisation d’iLO et d’autres techniques de maintenance à distance pour les serveurs : Celle-ci ne devrait être accessible que dans des réseaux locaux cloisonnés. Les mots de passe pour l’accès à distance devraient être modifiés et attribués individuellement. Le firmware d’iLO devrait toujours être à jour. Dans les versions modernes (à partir des serveurs G10), le téléchargement du micrologiciel devrait être interdit (les versions plus anciennes l’autorisent, ce qui constitue une autre porte de sortie). Et : les administrateurs devraient être conscients que les logiciels malveillants peuvent également se loger dans l’iLO.

Plus d'articles