Tenga cuidado: Su servidor dedicado en la nube podría tener un malware instalado por el propietario anterior

Hackers instalan backdoors en el hardware de empresas que rentan infraestructura física

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan el hallazgo de una nueva vulnerabilidad que permite a los hackers dejar backdoors en el firmware de los servidores físicos que son reasignados a otros usuarios de servicios en la nube, dejando a los nuevos usuarios vulnerables a múltiples actividades de hacking.

Algunos desarrolladores de software optan por contratar lo que se conoce como ‘Infraestructura como Servicio’; esta opción les permite un fácil escalonamiento de aplicaciones basadas en la nube sin necesidad de compartir el hardware con otros usuarios.

El problema reside, acorde a especialistas en seguridad en redes, en que una vez que una compañía decide dejar de utilizar el hardware, estos servidores pueden ser restaurados a su configuración de fábrica y reasignados a otros usuarios, lo que los expone a vulnerabilidades de firmware que pueden persistir incluso después de la restauración.

“Aunque estos servidores son usados por solo un cliente a la vez, este hardware podría ser usado posteriormente múltiples veces, incluso por decenas de usuarios, mismos que cuentan con acceso directo y total control sobre los servidores”, comentan los expertos.

Expertos en seguridad en redes descubrieron que un hacker malintencionado puede implantar backdoors maliciosos en el firmware de la infraestructura compartida de estos servicios en la nube. El backdoor puede sobrevivir al proceso de reasignación del servidor realizado por el proveedor de servicios. Para ser precisos, los atacantes podrían comprometer los servidores agregando backdoors y código malicioso en el firmware de un servidor físico, o bien en su controlador de gestión de placa base (BMC), lo que requiere de habilidades de hacking mínimas.

El BMC es un componente desarrollado por terceros para permitir la administración remota de un servidor que permite la reinstalación del sistema operativo, la solución de problemas, entre otras tareas.

Si esta clase de backdoors son implantados exitosamente en un servidor, podrá persistir a pesar de las reasignaciones de clientes realizadas por el proveedor, pues, para eliminar el backdoor, los proveedores deben conectarse físicamente a los chips para reflashear el firmware, tarea poco práctica para una organización.

De ser explotada la vulnerabilidad (apodada Cloudborne), podrían presentarse diversos escenarios de ataques como:

  • Denegación de servicio permanente (PDoS)
  • Robo o intercepción de datos de las aplicaciones ejecutadas en el servidor comprometido
  • Ejecución de malware o inhabilitación de la aplicación que se ejecuta en el servidor

Aunque la investigación fue realizada probando los servidores SoftLayer de IBM, los especialistas aseguran que otras empresas que prestan esta clase de servicios también son vulnerables a este vector de ataque.

Una forma de mitigar los riesgos es que los proveedores de estos servicios realicen la actualización de firmware debidamente antes de reasignar su infraestructura a otros clientes.

(Visited 263, 1 times)