giovedì 26 aprile 2018

Un ransomware colpisce la Remote Management Interface di HP


E' in corso un attacco che colpisce le interfacce di gestione remota iLO4 di Hewlett Packard Enterprise: il ransomware in questione cripta il disco rigido e richiede un riscatto in Bitcoin. Non è certo se il ransomware cripti interamente il disco rigido o meno, ma si ha riscontro di centinaia di vittime colpite a partire da ieri. 

HPE iLO4,altrimenti conosciuto come HPE Integrated Lights-Out, è una tecnologia integrata di gestione server inventata appunto da HP Enterprise per consentire all'amministratore di gestire da remoto il dispositivo. L'amministratore può collegarsi all'iLO usando un browser web o un app mobile: si viene quindi accolti da una pagina di login, come mostrato sotto.


La normale schermata di login
Una volta effettuato l'accesso, un amministratore può accedere ai log, riavviare il server, consultare le informazioni sul server ecc... Ma non è tanto questo il punto: chi ha l'accesso ottiene la possibilità di gestire da una console remota il server, che fornisce quindi accesso completo alla shell del sistema operativo attualmente accessibile. 

Il ransomware per HPE iLO4
Ieri il ricercatore M.Shahpasandi ha lanciato l'allarme, pubblicando una schermata di login HPE iLO4 contenente una "Security Notice" che afferma appunto che il disco rigido è stato criptato e che il possessore deve pagareun riscatto per riavere indietro i propri dati. 

Schermata di login compromessa. Fonte: Twitter
Questo avviso di sicurezza è stato aggiunto attraverso il Banner per la configurazione delle impostazioni di iLO4 Login Security. Questa impostazione infatti si trova nella sezione Amministrazione-->Sicurezza--> Login Security Banner, come mostrato sotto


Nella nota di riscatto si spiega che i file sono stati criptati usando un algoritmo asimmetrico RSA 2048: si spiega che occorre una chiave privata per riportare in chiaro i file, si dà una mail di contatto (15fd9ngtetwjtdc@yopmail.com), si invita a rispondere entro e non oltre 24 ore e si richiede un riscatto in Bitcoin, consigliando anche alcuni siti di scambio di Bitcoin per ottenerne quanti necessari a pagare il riscatto. 

Quando l'attaccante ottiene l'accesso all'iLO sarà in grado di abilitare il Login Security Banner e monterà una ISO remota. Quando l'ISO remota sarà montata, diverrà accessibile come unità nel sistema operativo. Sarà tramite questa unità remota che gli attaccanti eseguono un programma (per ora irrintracciato) che cripterà le unità del computer. Il passo successivo è la "conquista" dei privilegii di amministrazione sul server. Al riavvio però il server non sarà più in grado di accedere al sistema operativo: mostrerà invece l'errore "No boot device found". 

Il riscatto
Secondo quanto riferiscono le vittime il riscatto ammonta a 2 Bitcoin: gli attaccanti forniscono alle vittime un indirizzo utile per effettuare la transazione. La particolarità è che questo indirizzo Bitcoin non è uguale per tutti, ma sembra diverso da vittima a vittima. Inoltre, nella nota di riscatto, si spiega che il riscatto non è contrattabile a meno che la vittima non venga dalla Russia. 

Gli esperti consigliano...
l'esposizione di uno strumento di amministrazione remota come iLO4 su Internet non è una buona idea, anzi. Questi strumenti dovrebbero essere accessibili solo tramite VPN sicure, così da impedire che vengano scansiti e quindi siano resi accessibili da chiunque in Internet. Il rischio di esporre iLO pubblicamente è aggravato ulteriormente quando si eseguono versioni obsolete con vulnerabilità conosciute, che potrebbero consentire ad un attaccante di ignorare l'autenticazione, eseguire comandi e aggiungere nuovi account Admin. Anche la ricerca di interfacce iLO connesse è molto banale: una veloce ricerca mostra come vi siano oltre 5.000 dispositivi iLO4 connessi e moltissime sono versioni vulnerabili conosciute. 

Se utilizzi iLO4 nei serve HP, assicurati di aggiornare il firmware all'ultima versione disponibili. Quindi controlla gli account Admin per verificare che non ve ne siano creati a tua insaputa. Infine, ma non è meno importante, assicurati che l'indirizzo IP di iLO sia accessibile in Internet solo tramite VPN. 

Nessun commento:

Posta un commento