طی 24 ساعت گذشته، رصد فضای مجازی نشان دهنده حملاتی مبتنی بر آسیبپذیری های موجود در سرویس iLo سرورهای HP بوده است. سرویس iLo یک درگاه مستقل فیزیکی میباشد که جهت مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده میگردد. این سرویس حتی در صورت خاموش بودن سرورها به مهاجم قابلیت راه اندازی مجدد و دسترسی غیر مجاز را میدهد. حملات مذکور بر روی نسخههای مختلف مانند iLO 2 و iLO 3 و iLO 4 مشاهده شده است.
اقدامات کلی بعمل آمده:
- با اعلام حمله باجافزاری از سوی یکی از قربانیان از وقوع نوع جدیدی از حمله باجافزاری بر روی درگاههای iLO اطمینان حاصل گردید.
-
بررسیهای بیشتر برای شناسایی قربانیان حمله انجام شده و با تعدادی از قربانیان در ایران و کشورهای دیگر برای بررسی بیشتر، تماس حاصل شده است.
-
رصد فضای آدرس IP کشور بر روی درگاههای iLO انجام گرفت و سرورهای آسیبپذیر شناسایی گردیدند. با شماری از صاحبان این سرویس بر روی بستر اینترنت که در معرض تهدید میباشند تماس گرفته شده و هشدار لازم ارائه شد.
-
لازم به ذکر است بررسیها در این خصوص ادامه دارد و جزییات بیشتری در این خصوص منتشر خواهد شد.
توصیههای امنیتی:
-
دسترسی درگاههای iLo از طریق شبکهی اینترنت بر روی سرورهای HP مسدود گردد. توصیه اکید میشود در صورت نیاز و استفاده از iLO، با استفاده از راهکارهای امن نظیر ارتباط VPN اتصال مدیران شبکه به اینگونه سرویسدهندهها برقرار گردد.
- در صورت مشاهده هرگونه موردی نظیر پیام باج خواهی در iLo Security Login Banner ، تغییر در Boot Order، بهم ریختگی یا پاک شدن بی دلیل پیکربندی و اطلاعات یا هر مورد مرتبط و مشکوک دیگر با مرکز ماهر تماس حاصل نمایید.
