Una vulnerabilidad de seguridad recientemente revelada puede permitir a los ciberdelincuentes explotar un componente comĂșn de las placas madre de los servidores para comprometer los datos almacenados en la nube.
La vulnerabilidad, llamada Cloudborne, fue detallada hoy por Eclypsium Inc., la empresa de seguridad respaldada por Andreessen Horowitz. La vulnerabilidad afecta a los llamados controladores de administraciĂłn de placa base que comĂșnmente se envĂan con las placas base de los servidores, incluidas las que utilizan los proveedores de nube en sus datacenters.
Los BMC son chips especializados que permiten a los administradores realizar cambios en un servidor, incluso si no estĂĄ activado. Son un medio Ăștil para realizar la resoluciĂłn de problemas cuando un problema estĂĄ impidiendo que una mĂĄquina arranque. Los BMC ofrecen la posibilidad de modificar el firmware de un servidor, realizar cambios de configuraciĂłn e incluso reinstalar todo el sistema operativo si es necesario.
Pero esta utilidad viene con riesgos. En los Ășltimos años, los investigadores han encontrado numerosos problemas de seguridad en los BMC que pueden permitir a los piratas informĂĄticos acceder o desactivar un servidor. Muchas de las debilidades afectan a los productos de Super Micro Computer Inc., uno de los principales proveedores de placas madre de servidores para proveedores y empresas en la nube.
Cloudborne se convierte en una amenaza cuando una placa base vulnerable de Supermicro termina en un servidor en la nube. Estas son mĂĄquinas que los proveedores de infraestructura como servicio ofrecen especĂficamente para cargas de trabajo importantes, como las bases de datos.
Las empresas que alquilan un servidor completo no tienen que compartir sus recursos de hardware con otros usuarios, como es el caso de las instancias de nube habituales. Pero, en Ășltima instancia, los servidores de cĂłdigo abierto todavĂa son sistemas alquilados que cambian de manos entre los clientes.
SegĂșn Eclypsium, Cloudborne puede explotarse si un proveedor de la nube no puede restablecer completamente el firmware de una mĂĄquina antes de reasignarlo a un nuevo usuario.
El inicio demostrĂł la vulnerabilidad en una prueba en la plataforma de nube SoftLayer de IBM Corp. Alquilaron un servidor completo, cambiaron un solo bit en el firmware y luego desaprovisionaron la mĂĄquina, momento en el que deberĂa haberse reiniciado. Pero despuĂ©s de volver a alquilar la misma mĂĄquina, Eclypsium encontrĂł que el bit cambiado se quedĂł en el firmware.
En la prĂĄctica, esto significa que un pirata informĂĄtico podrĂa potencialmente infectar un servidor completo con malware o crear una puerta trasera para comprometer al prĂłximo cliente que alquila la mĂĄquina.
"La combinación de usar hardware vulnerable y no volver a actualizar el firmware hace posible implantar un código malicioso en el firmware del BMC del servidor e infligir daños o robar datos a los clientes de IBM que usan ese servidor en el futuro", explicaron los investigadores de Eclypsium.
"TambiĂ©n notamos que los registros de BMC se conservaron en todo el aprovisionamiento, y la contraseña de root de BMC se mantuvo igual en todo el aprovisionamiento", agregaron "Al no eliminar los registros, un nuevo cliente podrĂa obtener informaciĂłn sobre las acciones y los comportamientos del propietario anterior del dispositivo".
