Rootkit

Le rootkit iLOBleed fait trembler le géant Hewlett Packard

Integrated Lights Out (iLO), une technologie de gestion de serveurs à distance, développée par Hewlett Packard, a été attaquée par un logiciel malveillant surnommé iLOBleed. On fait le point.

Integrated Lights Out, c’est quoi ?

Integrated Lights Out est ce qu’on appelle un BMC. Les BMC (pour Baseboard Management Controller, autrement dit les contrôleurs de gestion de carte mère) sont des fonctionnalités intégrées aux micrologiciels d’un serveur, via un ensemble de puces, permettant sa maintenance à distance.

« iLO » permet donc une gestion complète et indépendante des serveurs d’une entreprise, mais donne, par la même occasion, des possibilités immenses aux rootkits qui s’en emparent.

Les chercheurs en IT ont depuis longtemps démontré que les BMC de multiples fabricants pouvaient présenter des vulnérabilités.

Selon HP, 7799 BMC de leurs serveurs exploitants seraient exposés aux risques.

Ce sont les serveurs HP Gen8 et Gen9 qui sont concernés, Gen10 ayant désormais résolu le problème. Sans que toutefois le danger soit écarté.

Quelle est la menace ?

À la manière d’un administrateur, le hacker est capable de stopper l’ensemble de l’activité d’un serveur ou même d’en effacer l’intégralité des données.

On soupçonne iLOBleed d’avoir été créé par un groupe de menace persistante avancée (APT). À l’heure actuelle, ses premières utilisations semblent dater de 2020. Il présente des caractéristiques qui lui donnent une grande force de diffusion.

iLOBleed, un malware des plus coriaces

Son premier avantage, c’est sa discrétion. Le programme a pour objectif la modification de plusieurs modules originaux du système d’exploitation afin d’empêcher toute mise à jour qui permettrait de résoudre le problème.

HP a délivré la version Gen 10 de son iLO, mais le malware, très ingénieux, peut afficher des messages pour confirmer des mises à jour qui demeurent non appliquées.

Au cas où vous auriez réussi à installer la màj Gen 10, le danger ne sera toujours pas écarté. Les hackers exploitant iLOBleed ont la possibilité de faire revenir votre système d’exploitation aux versions précédentes, celles-ci vulnérables. Et ce n’est qu’à l’activation d’une certaine option que le risque disparaît véritablement.

Comment réagir ?

Ceci étant dit, quelle est la marche à suivre pour se prémunir face à ce genre de situation ?

L’interface IPMI (Intelligent Plateform Management Interface) permet d’accéder à son interface BMC. La sécurité la plus basique requiert qu’on évite toute exposition de l’interface à Internet ou même au réseau principal de l’entreprise. Il est nécessaire de la placer sur un réseau isolé, son seul but étant d’assurer la gestion du réseau.

L’accès à cet espace peut être contrôlé et limité via différents moyens, parmi lesquels :

– Le VLAN (Virtual Local Area Network), est un type de réseau local qui regroupe logiquement et indépendamment un ensemble de machines informatiques ;
– Le VPN ;
– Les pare-feux.

En outre, il est vital d’être rigoureux face au suivi des micrologiciels BMC. On doit se tenir au courant grâce aux informations et aux mises à jour fournies par les fabricants. Mais aussi rester informé(e) des CVE (Common Vulnerabilities and Exposures) sur ses firmwares. Il est vital de connaître ces dangers qui, s’ils ne sont pas correctement pris en compte, laissent la porte ouverte aux attaques.

Protection rootkit

Se prémunir du risque

De nos jours, la cybersécurité est un point crucial pour assurer la bonne marche d’une entreprise. L’exemple de Log4Shell nous l’a rappelé.

L’exposition aux hackers peut avoir des conséquences désastreuses pour une boîte, notamment dans le cas d’iLOBleed qui donne aux pirates la toute puissance sur un réseau.

Mais effectuer sa maintenance est un travail minutieux qui demande un savoir-faire et une connaissance technique pointue. Et ce n’est pas toujours la priorité des entreprises. Pourtant, le risque cyber n’a jamais été si grand.

Chez Synexie, nous proposons une offre de cybersécurité sur mesure à nos clients, pensée selon leurs besoins. Alors n’hésitez pas à nous contacter pour que nous échangions sur ces problématiques ensemble.