Des chercheurs ont détecté un type de rootkit affectant les systèmes de gestion de serveurs intégrés de Hewlett-Packard (HP), utilisés dans les serveurs des environnements d’entreprise.
L’analyse d’un rootkit qui cible la technologie de gestion de serveurs Integrated Lights-Out (iLO) de Hewlett-Packard Enterprise pour mener des attaques qui manipulent les modules de micrologiciels et peuvent effacer complètement les données des systèmes infectés a récemment été publiée.
Cette découverte, qui constitue le premier cas de logiciel malveillant réel dans un micrologiciel iLO, a été documentée par la société iranienne de cybersécurité Amnpardaz.
« De nombreux éléments de iLO en font une cible idéale pour les logiciels malveillants et les groupes APT : des privilèges extrêmement élevés (au-dessus de tout niveau d’accès dans le système d’exploitation), un accès de très bas niveau au matériel, il est pratiquement caché des administrateurs et des outils de sécurité, l’absence d’outils d’inspection et d’analyse, la persistance qu’il procure et, surtout, le fait qu’il soit toujours en cours d’exécution.«
Outre la gestion des serveurs, le fait que les modules iLO aient accès à l’ensemble du matériel, des micrologiciels, des logiciels et du système d’exploitation installés en fait un candidat idéal pour attaquer les organisations qui utilisent des serveurs HP, tout en permettant aux logiciels malveillants de persister après les redémarrages et de survivre aux réinstallations du système d’exploitation.
Baptisé iLOBleed, le rootkit a été utilisé dans des attaques depuis 2020 dans le but de manipuler un certain nombre de modules de firmware d’origine afin d’entraver furtivement les mises à jour du firmware. Bien que le groupe responsable du malware n’ait pas été identifié, les chercheurs soupçonnent qu’il s’agit de l’œuvre d’un APT.
Plus d’information:
https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/
https://thehackernews.com/2021/12/new-ilobleed-rootkit-targeting-hp.html