伊朗安全公司 Amnpardaz 的研究人員在 HPE iLO 的管理模塊中發現了 rootkit。 添加到服務器的芯片最初是添加到服務器進行遠程管理的，允許以高權限訪問系統。 功能包括打開和關閉服務器電源、硬件和固件設置以及其他管理員功能。 rootkit 上的名稱"iLOBleed"來自在 iLO 固件中發現的惡意軟件模塊"映像.ARM.iLOBleed.a"。 這是第一個在 iLO 中發現的 rootkit。 

攻擊者通過在 Web UI 上模擬固件的假升級過程來阻止更新，使其不被注意到。 但是，版本號是最新的，但 UI 上的圖像尚未更新。 

真假iLO 的 Web UI 比較（由 Amnpardaz 提供） 

攻擊者采取了一些措施來防止發現存在。 除了虛假的 UI 頁外，還創建包含虛假信息的輸出日志。 當研究人員發現惡意軟件時，攻擊者開始刪除服務器。  然而，創建這個 rootkit 投入了大量精力，技術含量很高，并且通常與政府安全機構合作，被認為與 APT 組織的技術水平相當。 研究人員還認為，這種惡意軟件的主要目的是擦除服務器的驅動器并隱藏其存在。 

具有 iLO 的 HPE 服務器世界各地都在使用，但不清楚此惡意軟件的影響程度。 最好參考 Amnpardaz 報告或本文末尾提供的建議，以確保服務器在損壞之前是安全的。 Amnpardaz 還致力于開發工具來驗證 iLO 固件的完整性，因此請持續關注。

什么iLO 和服務器版本存在風險*

HPE 代理服務器Gen9 （G9） 系列或早期版本使用 iLO4 以及早期版本的服務器。 它們沒有內置受信任的根密鑰的安全啟動機制，因此存在篡改和感染的風險。 但是，即使是最新版本的 iLO 也可能降級，因此存在漏洞。 此外，最新的 G10 系列還可以通過配置降級固件。 在 G10 或更早的服務器上，沒有防止固件降級的機制。 

如何感染 iLO rootkit*

我們尚未確定 rootkit 是如何訪問的，但研究人員認為有兩種可能性：通過網絡端口或連接到服務器的主機操作系統。 如果您有權訪問具有管理員權限或根權限的用戶，則這是可能的。 您不能關閉或禁用 iLO 模塊。 

保護措施（提供者： Amnpardaz） 
iLO 網絡接口不應連接到業務網絡，而應相應地構建完全獨立的網管網絡。
定期將 iLO 固件版本更新到 HPE 的最新版本。
在 HP 服務器上設置 iLO 安全設置，并禁用 G10 服務器的降級。
使用縱深防御策略來降低風險，并在訪問 iLO 之前檢測入侵。
定期使用 iLO 掃描程序工具*來檢測當前版本的 iLO 服務器固件是否存在潛在漏洞、惡意軟件和后門。
Amnpardaz 計劃發布掃描工具，但尚未發布（截至 2021 年 12 月 31 日）。

原文：https://www.watchguard.co.jp/security-news/hp-ilo-and-the-newly-discovered-ilobleed-rootkit.html