惡意軟體鎖定iLO韌體以刪除HPE伺服器資料，升級韌體也無法防堵

【新增HPE回應】研究人員發現一隻惡意程式專門鎖定HPE iLO軟體及裝置，旨在刪除HPE伺服器上的資料，即使升級iLO韌體也難以防堵。

伊朗安全廠商Amnpardaz揭露其在HPE iLO韌體內，發現一隻名為iLOBleed的rootkit，無法經由韌體更新移除，可用於長期潛伏攻擊，研判它已經被駭客組織用來攻擊用戶一段時日。安全廠商相信這是第一隻攻擊iLO韌體的惡意程式。

iLOBleed 的命名，是來自於專門鎖定HPE的iLO（INTEGRATED LIGHTS-OUT）軟體。

HPE伺服器通常搭配一款iLO管理模組。iLO管理模組可以嵌入伺服器或工作站運作，可協助管理伺服器軟硬體、安裝安全更新，遠端存取系統控制台、安裝CD/DVD映像檔等，即使伺服器硬體在關機狀態下也能執行。研究人員指出，iLO的幾項特點，包括具備高度權限，可在任何OS層執行、也能存取硬體底層、管理員及安全工具看不到、市面上很少能監控和防護iLO的方案，懂的人也不多，使其成為惡意程式及APT組織的理想犯罪工具。

攻擊者可能經由舊版iLO韌體漏洞，或是從連接的伺服主機植入iLOBleed。研究人員發現它主要行為是一隻wiper程式，可刪除嵌入iLO裝置的伺服器硬碟資料，但它的行為不只如此。

研究人員發現iLOBleed還能控制iLO韌體更新，即使管理員升級韌體以修補漏洞，也會被它降成舊版軟體，而為了掩飾這點，它還會偽造訊息及日誌記錄，假裝更新已經成功。所有沒有防止竄改韌體的安全開機（Secure-Boot）機制的產品，包括跑iLO4及更早之前版本韌體的HP ProLiant Server G9以前產品，都可能遭iLOBleed變更削弱安全性。

唯一能倖免於外的是2021年12月推出、使用iLO5韌體的G10系列，但用戶必須主動啟動Secure-Boot機制。

根據這樁攻擊的手法高明程度，研究人員推測是由國家支持的進階滲透攻擊（advanced persistent threat, APT）駭客組織所為。安全公司表示近期內將釋出檢測iLO韌體及感染的工具。

1月6日新增HPE回應

HPE表示，關於這次Amnpardaz在2021年12月28日的揭露內容，主要是發現有iLOBleed的rootkit的出現，鎖定的是2017年的已知漏洞－－CVE-2017-12542、CVE-2017-12543。

上述兩個漏洞，是由Fabien Perigaud of Airbus Defense與Space CyberSecurity，以及Daniel Lawson of MWR InfoSecurity通報給HPE，HP已在2017年與2018年陸續修補完成。

對於用戶而言，用戶若採用的是HP ProLiant Server G10，該伺服器搭載的是未受影響的iLO5，因此，對於Amnpardaz的這次發現就不用太過操心。

至於還是使用HP ProLiant Server G8/G9的產品，HPE表示，用戶只要將iLO4更新到2.53之後版本，就不會再受影響。

關於iLOBleed與上述漏洞的關聯，HPE解釋，iLOBleed rootkit是在未升級iLO4韌體的系統中發現，而當初發現的CVE-2017-12542漏洞，是可經由此漏洞建立未知的iLO4使用者，進而植入rootkit程式，如iLOBleed。

至於臺灣有多少用戶仍使用HP ProLiant Server G9之前的產品，HPE表示，據他們所知，大部分用戶皆已經更新，但無法完全掌握客戶實際使用情形，此外，自2017年後，大多數客戶皆採用新的G10系列產品，國內應有9成以上用戶是使用G10，因此不受影響。文⊙iThome資安主編羅正漢

另外，他們也提供本次事件相關的歷史安全公告供用戶參考：

• HPE Integrated Lights-out 4 (iLO 4), and Moonshot Multiple Remote Vulnerabilities
• HPE StoreEasy Storage - HPE Integrated Lights-Out 4 (iLO 4) Multiple Remote Vulnerabilities
•  HPE Superdome X servers with iLO4, Remote Code Execution and Authentication Bypass