Hackers crean backdoors en la nube para afectar nuevos clientes.



Una vulnerabilidad de seguridad recientemente revelada puede permitir a los ciberdelincuentes explotar un componente común de las placas madre de los servidores para comprometer los datos almacenados en la nube.

La vulnerabilidad, llamada Cloudborne, fue detallada hoy por Eclypsium Inc., la empresa de seguridad respaldada por Andreessen Horowitz. La vulnerabilidad afecta a los llamados controladores de administración de placa base que comúnmente se envían con las placas base de los servidores, incluidas las que utilizan los proveedores de nube en sus datacenters.

Los BMC son chips especializados que permiten a los administradores realizar cambios en un servidor, incluso si no está activado. Son un medio útil para realizar la resolución de problemas cuando un problema está impidiendo que una máquina arranque. Los BMC ofrecen la posibilidad de modificar el firmware de un servidor, realizar cambios de configuración e incluso reinstalar todo el sistema operativo si es necesario.

Pero esta utilidad viene con riesgos. En los últimos años, los investigadores han encontrado numerosos problemas de seguridad en los BMC que pueden permitir a los piratas informáticos acceder o desactivar un servidor. Muchas de las debilidades afectan a los productos de Super Micro Computer Inc., uno de los principales proveedores de placas madre de servidores para proveedores y empresas en la nube.

Cloudborne se convierte en una amenaza cuando una placa base vulnerable  de Supermicro termina en un servidor en la nube. Estas son máquinas que los proveedores de infraestructura como servicio ofrecen específicamente para cargas de trabajo importantes, como las bases de datos.

Las empresas que alquilan un servidor completo no tienen que compartir sus recursos de hardware con otros usuarios, como es el caso de las instancias de nube habituales. Pero, en última instancia, los servidores de código abierto todavía son sistemas alquilados que cambian de manos entre los clientes.

Según Eclypsium, Cloudborne puede explotarse si un proveedor de la nube no puede restablecer completamente el firmware de una máquina antes de reasignarlo a un nuevo usuario.

El inicio demostró la vulnerabilidad en una prueba en la plataforma de nube SoftLayer de IBM Corp. Alquilaron un servidor completo, cambiaron un solo bit en el firmware y luego desaprovisionaron la máquina, momento en el que debería haberse reiniciado. Pero después de volver a alquilar la misma máquina, Eclypsium encontró que el bit cambiado se quedó en el firmware.

En la práctica, esto significa que un pirata informático podría potencialmente infectar un servidor completo con malware o crear una puerta trasera para comprometer al próximo cliente que alquila la máquina.

"La combinación de usar hardware vulnerable y no volver a actualizar el firmware hace posible implantar un código malicioso en el firmware del BMC del servidor e infligir daños o robar datos a los clientes de IBM que usan ese servidor en el futuro", explicaron los investigadores de Eclypsium.

"También notamos que los registros de BMC se conservaron en todo el aprovisionamiento, y la contraseña de root de BMC se mantuvo igual en todo el aprovisionamiento", agregaron "Al no eliminar los registros, un nuevo cliente podría obtener información sobre las acciones y los comportamientos del propietario anterior del dispositivo".