وزیر ارتباطات از تحرک جدید مهاجان سایبری در حمله به درگاه مدیریتی سرورهای HP با سوءاستفاده از نقص iLo خبر داد.
به گزارش گرداب، محمدجواد آذری جهرمی در کانال رسمی خود نوشت: مجدداً هشدار اردیبهشت ۹۷ در مورد حملات باجافزاری با سو استفاده از درگاه مدیریتی iLo سرورهای HP را یادآوری میکنیم.
سرویس iLo یک درگاه مستقل فیزیکی است که جهت مدیریت و نظارت سرورهای شرکت HP از سوی مدیران شبکه استفاده میشود.
وزیر ارتباطات در این باره گفت: تحرکات جدیدی توسط مهاجمان سایبری برای طراحی حملات سایبری با استفاده از این نقیصه، رصد و گزارش شده است.
اردیبهشت ماه سال ۹۷ نیز مرکز ماهر با اعلام هشدار در خصوص انتشار باجافزار با سوءاستفاده از درگاه مدیریتی iLO سرورهای شرکت HP گزارش داده بود: رصد فضای مجازی نشان دهنده حملاتی مبتنی بر آسیبپذیریهای موجود در سرویس iLo سرورهای HP بوده است.
سرویس iLo حتی در صورت خاموش بودن سرورها به مهاجم قابلیت راه اندازی مجدد و دسترسی غیر مجاز را میدهد. حملات مذکور روی نسخههای مختلف مانند iLO ۲ و iLO ۳ و iLO ۴ مشاهده شده است.
در آن زمان اقدامات زیر از سوی مرکز ماهر انجام شد:
با اعلام حمله باج افزاری از سوی یکی از قربانیان از وقوع نوع جدیدی از حمله باجافزاری روی درگاههای iLO اطمینان حاصل شد.
بررسیهای بیشتر برای شناسایی قربانیان حمله انجام شده و با تعدادی از قربانیان در ایران و کشورهای دیگر برای بررسی بیشتر، تماس حاصل شده است.
رصد فضای آدرس IP کشور روی درگاههای iLO انجام گرفت و سرورهای آسیبپذیر شناسایی شدند. با شماری از صاحبان این سرویس روی بستر اینترنت که در معرض تهدید بودند تماس گرفته شده و هشدار لازم ارائه شد.
توصیههای امنیتی
دسترسی درگاههای iLo از طریق شبکه اینترنت روی سرورهای HP مسدود شود.
توصیه اکید میشود در صورت نیاز و استفاده از iLO، با استفاده از راهکارهای امن نظیر ارتباط VPN اتصال مدیران شبکه به اینگونه سرویسدهندهها برقرار شود.
در صورت مشاهده هرگونه موردی نظیر پیام باجخواهی در iLo Security Login Banner، تغییر در Boot Order، بهم ریختگی یا پاک شدن بی دلیل پیکربندی و اطلاعات یا هر مورد مرتبط و مشکوک دیگر با مرکز ماهر تماس گرفته شود.