無法判斷是否存在感染

時(shí)間：2022-03-28 03:48:01 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-28 03:48:01 來源：行業(yè)動(dòng)態(tài)

為了回應(yīng)Eclypsium方面的研究結(jié)果，IBM公司發(fā)布了一份聲明，將此項(xiàng)漏洞視為低威脅水平。但其同時(shí)承諾，未來將會(huì)在不同用途的客戶使用場景之間認(rèn)真清理服務(wù)器上的BMC固件：IBM公司通過強(qiáng)制清理所有BMC應(yīng)對(duì)此項(xiàng)漏洞可能利用的固件，包括報(bào)告中涉及的最新固件。在重新配置并交付其他客戶使用之前，我們將使用出廠恢復(fù)工具重新刷新固件。此項(xiàng)操作將清除BMC固件中的全部日志，同時(shí)重新生成BMC固件的所有密碼。

截至本周一晚，Eclypsium公司的研究人員們表示其仍然能夠?qū)崿F(xiàn)自己發(fā)現(xiàn)的感染方法，這也意味著IBM方面的修復(fù)工作仍然沒有得到落實(shí)。但I(xiàn)BM公司的一位發(fā)言人在接受采訪時(shí)指出，修復(fù)工作已經(jīng)交付實(shí)施，我們正在處理積壓工作。

即使如此，其它關(guān)注固件方向的研究人員對(duì)于IBM公司為此項(xiàng)漏洞發(fā)布的低威脅標(biāo)簽以及提出的修復(fù)方案持懷疑態(tài)度。Karsten Nohl曾開發(fā)出所謂BadUSB攻擊，其能夠悄悄修改U盤上的固件。

Nohl指出，BMC固件的可更改特性意味著黑客將具有控制目標(biāo)服務(wù)器的通道，亦能夠在管理員試圖重新刷新時(shí)欺騙對(duì)方即通過提示信息表明自身已經(jīng)完成更新，但實(shí)際上卻并沒有刪除惡意代碼。Nohl表示，一旦固件受到感染，我們將沒有辦法判斷其仍然受到感染，或者已經(jīng)恢復(fù)正常。另一位著名固件黑客H.D.Moore認(rèn)為，只需要在服務(wù)器上添加一塊硬件來檢查固件的完整性，就能夠徹底解決這個(gè)問題。

關(guān)于這方面情況，IBM公司拒絕回應(yīng)我們提出的、關(guān)于可靠固件更新難度的問題。由于Eclypsium方面僅測試了IBM的裸機(jī)服務(wù)器產(chǎn)品，因此目前尚不清楚其它云服務(wù)廠商是否也會(huì)受到同一固件問題的影響。

好消息是，Nohl認(rèn)為裸機(jī)服務(wù)器只占云服務(wù)家族中的一小部分，而虛擬化服務(wù)器則很難通過這種固件方法進(jìn)行攻擊。然而，存在這種易受攻擊的可能性畢竟會(huì)讓用戶的心里感到不舒服。Nohl總結(jié)稱，其影響到的只是特定的利基市場。但利基與否并不是重點(diǎn)。即使是對(duì)于利基市場而言，這也是一種值得高度重視的攻擊可能，更可怕的是我們無法通過簡單的方法加以解決。