pressmaster - stock.adobe.com

Des serveurs HPE administrables via iLO 4 compromis par ransomware

Des cyber-délinquants ont commencé à prendre en otage des serveurs HPE ProLiant, contre rançon. Ils profitent d’interfaces iLO 4 dédiées à l’administration à distance… exposées sur Internet. Et elles sont nombreuses.

Sur Twitter, le chercheur M. Shahpasandi ne cache pas sa surprise, demandant si d’autres ont été confrontés à la même chose. L’objet de ses interrogations ? La photo de l’interface d’administration à distance d’un serveur HPE ProLiant, barrée par une demande de rançon en anglais – une bannière d’ouverture de session altérée. Celle-ci revendique le chiffrement des données du serveur suivant l’algorithme RSA avec une clé sur 2048 bits. Le cas n’apparaît pas totalement isolé ; un second chercheur présentel’illustration d’un autre cas.

L’accès initial à la console d’administration iLO 4 pourrait avoir été obtenu par une attaque en force brute, ou via l’exploitation de vulnérabilités existantes sur des systèmes à la maintenance peu rigoureuse. Une telle vulnérabilité, affectantles versions d’iLO 4 antérieures à la 2.53 a été signalée à HPE par Airbus Defense & Space, l’an passé, et discutéepubliquement début février.

Aujourd’hui, il faut compter avec plus de 5000 interfaces iLO 4 exposées sur Internet, selon le moteur de recherche spécialisé Shodan. En France, on en compte une cinquantaine, dont quelques-unes déclarent des versions pour le moins anciennes de l’interface.

Mais même si la majorité est en version 2.54 ou 2.55, et donc protégée contre la vulnérabilité découverte par les chercheurs d’Airbus Defense & Space, les machines concernées ne sont pas pour autant à l’abris : la photo présentée par M. Shahpasandi représente une interface iLO 4 en version 2.55.

L’expert Nick Hutton rappelle dès lors les bonnes pratiques : ces interfaces n’ont pas à être exposées publiquement sur Internet. Elles doivent être accessibles via un réseau dédié, le cas échéant via des systèmes de rebond – ou des systèmes de contrôle des accès à privilèges (PAM), protégées par des mots de passe robustes, etc. Et c’est sans compter avec l’impératif de mise à jour régulière et de surveillance, via collecte des journaux d’activité et des alertes…

Approfondir

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

En soumettant ces informations à LeMagIT.fr, vous acceptez de recevoir des emails de TechTarget et ses partenaires. Si vous résidez hors des Etats-Unis, vous consentez à ce que vos données personnelles soient transférées et traitées aux Etats-Unis. Politique de confidentialité

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close