Une société de cybersécurité, nommée Amnpardaz, a déclaré avoir découvert un rootkit unique en son genre qui se cache dans le firmware des appareils HP iLO et qui a déjà été utilisé dans des attaques qui altèrent les modules du micrologiciel et effacent complètement les données des systèmes infectés.

Les dispositifs iLO sont dotés de leur propre unité de traitement, de leur propre espace de stockage, de leur propre mémoire vive et de leur propre carte réseau et fonctionnent indépendamment de tout système d'exploitation local.

Leur rôle principal est de fournir aux administrateurs système un moyen de se connecter à des systèmes distants, même lorsque ces systèmes sont éteints, et d'effectuer des opérations de maintenance, telles que la mise à jour de micrologiciels, l'installation de mises à jour de sécurité ou la réinstallation de systèmes défectueux.

Cette découverte, qui constitue le premier cas de malware réel dans le micrologiciel iLO, a été documentée par la société iranienne cette semaine.

"Il existe de nombreux aspects de iLO qui en font une utopie idéale pour les malwares et les groupes APT : Des privilèges extrêmement élevés, un accès de très bas niveau au matériel, le fait d'être totalement hors de vue des administrateurs et des outils de sécurité, le manque général de connaissances et d'outils pour inspecter iLO et/ou le protéger, la persistance qu'il offre pour que le malware reste même après avoir changé le système d'exploitation, et en particulier le fait d'être toujours en cours d'exécution et de ne jamais s'éteindre", ont déclaré les chercheurs.

Outre la gestion des serveurs, le fait que les modules iLO aient un large accès à l'ensemble des microprogrammes, du matériel, des logiciels et du système d'exploitation installés sur les serveurs en fait un candidat idéal pour compromettre les organisations utilisant des serveurs HP, tout en permettant au malware de maintenir sa persistance après les redémarrages et de survivre aux réinstallations de l’OS. Cependant, la méthode exacte utilisée pour infiltrer l'infrastructure réseau et déployer le wiper reste encore inconnu.

Le rootkit a été mis à contribution dans des attaques depuis 2020 en simulent le processus de mise à jour du firmware alors qu'en réalité aucune mise à jour n'est effectuée.

"Ce seul fait montre que l'objectif de ce malware est d'être un rootkit avec une furtivité maximale et de se cacher de toutes les inspections de sécurité", ont déclaré les chercheurs. "Un malware qui, en se cachant dans l'une des ressources de traitement les plus puissantes (qui est toujours allumée), est capable d'exécuter toutes les commandes reçues d'un attaquant, sans jamais être détecté."

Ce développement met une fois de plus l'accent sur la sécurité des microprogrammes, ce qui nécessite que les mises à jour des microprogrammes fournies par le fabricant soient rapidement appliquées pour atténuer les risques potentiels, que les réseaux iLO soient segmentés des réseaux d'exploitation et que les microprogrammes soient périodiquement contrôlés pour détecter les signes d'infection.