La société HP visée par un nouveau rootkit iLOBleed qui efface les données
Les entreprises dotées de système informatique sont très souvent victimes d’attaques provenant de logiciels malveillants. Récemment, la technologie iLO (Integrated Lights-Out) utilisée par Hewlett-Packard Enterprise pour la gestion de ses serveurs a été pointée par un rootkit. Celui-ci lance de violentes attaques qui détruisent les micrologiciels et suppriment l’intégralité des données des serveurs touchés.
La capacité des modules iLO à accéder librement au hardware, au firmware, au système d’exploitation (OS) et au software des serveurs a fait d’eux une cible idéale. Le but étant d’attaquer les entreprises possédant des serveurs HP, cela a également favorisé la persistance du malware. Et ce, malgré que l’OS ait été redémarré et réinstallé.
Jusqu’à présent, le rootkit reste non identifié. Sa découverte est une première dans le monde réel des logiciels malveillants et dans le micrologiciel iLO. Elle a été rapportée par une entreprise de cybersécurité iranienne, Amnpardaz, dans le courant de la semaine.
Le rootkit HP, un malware réputé pour ses attaques
Surnommé iLOBleed, le programme a été utilisé pour des attaques en 2020. Son objectif était de modifier plusieurs modules originaux de l’OS afin d’empêcher discrètement sa mise à jour. Les modifications effectuées ont dissimulé spécifiquement le processus d’actualisation du logiciel. En outre, le rootkit a prétendument indiqué une version correcte en intégrant au programme des fichiers logs adéquats, alors qu’aucune actualisation n’a été faite.
« Ce simple détail prouve que ce malware a été conçu pour servir de rootkit avec une discrétion optimale et échapper à tout contrôle de sécurité. Un logiciel malveillant qui, en se dissimulant dans une ressource informatique très puissante, peut exécuter toute commande provenant d’un pirate ou hacker, sans être jamais repéré. »
La prévention des attaques visant les données
Cette situation attire à nouveau l’attention des internautes sur la nécessité de renforcer la sécurité des applications informatiques. Il faut donc procéder à la mise à jour systématique des applications livrées par le concepteur pour limiter tout risque éventuel. De plus, il convient de séparer le réseau iLO de celui des OS et de contrôler régulièrement les logiciels pour repérer les indices d’infection.
« L’autre remarque importante concerne l’existence de méthodes d’accès et d’infection de iLO tant par réseau que par système d’exploitation central. En conséquence, même en coupant totalement le câble du réseau iLO, la possibilité que le malware puisse l’infecter persiste. »
Ces derniers ont également évoqué ce fait : « Il est impossible de désactiver ou d’arrêter complètement iLO en cas de non-utilisation. »
SOURCE : THEHACKERNEWS
