pressmaster - stock.adobe.com
Des serveurs HPE administrables via iLO 4 compromis par ransomware
Des cyber-délinquants ont commencé à prendre en otage des serveurs HPE ProLiant, contre rançon. Ils profitent d’interfaces iLO 4 dédiées à l’administration à distance… exposées sur Internet. Et elles sont nombreuses.
Sur Twitter, le chercheur M. Shahpasandi ne cache pas sa surprise, demandant si d’autres ont été confrontés à la même chose. L’objet de ses interrogations ? La photo de l’interface d’administration à distance d’un serveur HPE ProLiant, barrée par une demande de rançon en anglais – une bannière d’ouverture de session altérée. Celle-ci revendique le chiffrement des données du serveur suivant l’algorithme RSA avec une clé sur 2048 bits. Le cas n’apparaît pas totalement isolé ; un second chercheur présentel’illustration d’un autre cas.
L’accès initial à la console d’administration iLO 4 pourrait avoir été obtenu par une attaque en force brute, ou via l’exploitation de vulnérabilités existantes sur des systèmes à la maintenance peu rigoureuse. Une telle vulnérabilité, affectantles versions d’iLO 4 antérieures à la 2.53 a été signalée à HPE par Airbus Defense & Space, l’an passé, et discutéepubliquement début février.
Aujourd’hui, il faut compter avec plus de 5000 interfaces iLO 4 exposées sur Internet, selon le moteur de recherche spécialisé Shodan. En France, on en compte une cinquantaine, dont quelques-unes déclarent des versions pour le moins anciennes de l’interface.
Mais même si la majorité est en version 2.54 ou 2.55, et donc protégée contre la vulnérabilité découverte par les chercheurs d’Airbus Defense & Space, les machines concernées ne sont pas pour autant à l’abris : la photo présentée par M. Shahpasandi représente une interface iLO 4 en version 2.55.
HPE iLo 4 hit by #Ransomware
— M. Shahpasandi (@M_Shahpasandi) April 25, 2018
anyone seen this before?@malwrhunterteam@demonslay335 @struppigel @leotpsc pic.twitter.com/ATdAWUtW64
L’expert Nick Hutton rappelle dès lors les bonnes pratiques : ces interfaces n’ont pas à être exposées publiquement sur Internet. Elles doivent être accessibles via un réseau dédié, le cas échéant via des systèmes de rebond – ou des systèmes de contrôle des accès à privilèges (PAM), protégées par des mots de passe robustes, etc. Et c’est sans compter avec l’impératif de mise à jour régulière et de surveillance, via collecte des journaux d’activité et des alertes…
iLos are like enfeebled patient with no immune system.
— Nick Hutton (@nickdothutton) April 25, 2018
Never put iLos, IPMI, LOMs, etc on the Internet.
Use a dedicated management network.
Use strong passwords.
Use jump boxes.
Patch firmware.
Collect logs and alerts.
React to what these tell you.