Logo
Hamburger Menu Icon
Yoroi Background

Wiper Silenti in Firmware HP Proliant Server

12/30/2021

Proto: N021221.

Con la presente CERT-Yoroi desidera informarla riguardo alla recente scoperta di operazioni di attacco malware ai danni delle tecnologie HP Proliant Server, mirate alla compromissione del firmware di gestione iLO delle macchine server.  

Le campagne di attacco hanno come obiettivo l’installazione di un modulo firmware malevolo denominato “Implant.ARM.iLOBleed.a”.  Il rootkit ha la funzionalità di “wiper” silente: viene programmato per rimanere inattivo ed invisibile per lunghi periodi, per poi attivare poi procedure di cancellazione e distruzione dati sui dischi fisici connessi all’hardware del server infettato.   

L’installazione dell'impianto rootkit risulta possibile tramite lo sfruttamento di falle 1-Day, accessi amministrativi/root nel parco macchine server dell'organizzazione o tramite la porta di rete di iLO, sulle versioni:  

  • ILO, server Proliant serie G2, G3, G4, G6   
  • iLO 2, server Proliant serie G5 e G6   
  • iLO 3, server Proliant serie G7  
  • iLO 4, server Proliant serie G8, G9   

Anche le serie G10 possono essere vittima di installazioni rootkit di questo tipo tramite abilitazione della possibilità di downgrade del firmware. Tuttavia, gli attacchi noti hanno interessato la serie HP Proliant Servers G9 con iLO4 con versioni tra 2.30 e 2.50.   

Considerato che le installazioni dell’impianto wiper silente note sono al momento riconducibili ad intrusioni APT operanti sin dal 2020. CERT-Yoroi consiglia di appurare lo stato di aggiornamento dei firmware iLO, la disabilitazione della possibilità di downgrade dei firmware, e di appurare la presenza di infezioni attive tramite controllo visivo delle versioni, in quanto i numeri di versione vengono alterati per apparire aggiornati, ma la grafica della UI rimane alla versione precedente. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index 

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram