【每日安全资讯】研究称黑客可通过漏洞劫持裸金属服务器,IBM将修复

据美国科技媒体ZDNet援引一份报告内容显示,当裸金属(bare-metal)云服务器重新分配给其他客户之后,黑客依然可以通过修改固件来重新接入该服务器。裸金属服务器是云计算行业使用的一个术语,指的是一次只租给一名客户的物理服务器(硬件)。

【每日安全资讯】研究称黑客可通过漏洞劫持裸金属服务器,IBM将修复_第1张图片

租用裸金属服务器的客户可以获得完全访问权。他们可以随意进行各种调整,并将服务器用于各种目的,而不必担心服务器上的信息会被秘密共享给其他客户——这与采用虚拟化技术的云计算托管方案有所不同。

这种理念认为,一旦客户使用完服务器,便可将其交还给云计算公司,而云计算公司则会删除服务器上的所有软件和客户数据,之后再提供给其他客户使用。

但在硬件安全公司Eclypsium进行的实验中,该公司的安全研究人员却发现,云计算服务提供商可能没有彻底清除裸金属服务器上的配置。

该公司的团队表示,只要对服务器的BMC固件进行修改,便可在服务器被删除并重新分配给其他客户之后,重新接入该服务器。

BMC是“基板管理控制器”的缩写,这是一种电脑/服务器组件,包含自己的CPU、存储系统和上网接口,可以让远程管理员接入PC/服务器,并发送指令,执行各种任务,包括修改系统设置、重新安装系统或者更新驱动。

Eclypsium团队之前也曾经发现过BMC固件的各种漏洞,例如,他们的研究人员去年曾经发现过Super Micro主板的BMC固件漏洞。

他们在最新的实验中使用Super Micro BMC固件漏洞展示了黑客如何以更危险的方式滥用该漏洞,最终入侵网络并窃取数据。

他们通过这次名为Cloudborne的测试成功将一台裸金属服务器的BMC固件更新为他们事先准备的固件。

这个新的固件只包含一个位反转,所以之后可以识别出来,但实际上,任何恶意代码都可以包含在BMC固件中。

Eclypsium建议云计算提供商应该在重置裸金属服务器时刷新BMC固件,并根据不同客户使用不同的BMC根密码。

IBM似乎已经采纳了Eclypsium的建议。该公司在昨天的博文中表示将会把所有的BMC刷新为出厂设置。不过,IBM认为这只能算“轻微问题”,但Eclypsium却认为该问题“非常严重”。

*来源:新浪科技

更多资讯

◈ 研究发现人们担心隐私 但并不愿意采取行动
根据 IBM 的一项隐私调查,人们确实对隐私越来越关心了,然而他们并没有因此愿意采取行动。调查显示,81% 的消费者表示他们关心企业如何使用数据,87% 的消费者认为需要严格监管个人数据管理,75% 的人认为他们不太信任拥有其数据的公司,89% 的人表示企业在产品如何使用数据上需要更明确。
与此同时,71% 的人表示愿意放弃隐私换取服务,45% 的人修改了产品的隐私设置,16% 的人因数据滥用而选择离开。显而易见,大数据泄露对企业财务风险很小,即使有数据大规模泄漏,企业也无需担心,因为大多数人仍然会继续用他们的服务。

来源:solidot.org
详情:http://t.cn/Efnd2rt


◈ 为期半年的净网 2019 将从下个月开始
一年一度的网络专项整治行动即将从下个月启动。全国扫黄打非办公室透露,3 月至 11 月,全国将大力组织开展 “净网 2019”“护苗 2019”“秋风 2019” 等专项行动,净化社会文化环境。今年的整治重点是“自媒体违法违规采编、传播有害信息、炒作敏感问题、敲诈勒索,网络文学传播色情和低俗内容、非法网络直播、利用学习类 APP 传播有害信息等”活动。
来源:solidot.org
详情:http://t.cn/EfndbmX

◈ 一条个人信息8毛钱 警方通报300万条信息泄露大案
去年4月初,相城公安分局漕湖派出所警方接到市民茅先生举报,称他的个人信息被泄露。随后警方对此展开侦查,竟牵出一个特大个人信息泄露案。
来源:东北网
详情:http://t.cn/Efndcae

◈ 黑龙江省网信办依法关闭一泄露个人信息违规网站
近日,黑龙江省网信办接网民举报,网站“清晰的空气”(备案域名:m.9i0.com;备案许可证号:黑ICP备18004131号—1)在网页中发布大量含有公民个人姓名、身份证号等个人信息,严重侵害了公民个人隐私,造成恶劣的社会影响。经核查,该网站违反《网络安全法》第四十条、第四十一条“网络运营者不得泄露、篡改、毁损其收集的个人信息”“未经被收集者同意,不得向他人提供个人信息”等相关规定。省网信办与该网站负责人马某多次联系未果后,依据《网络安全法》第四十二条“可以责令暂停相关业务、停业整顿、关闭网站”相关要求,迅速协调相关部门和平台,依法注销其主体备案号。
来源:光明网
详情:http://t.cn/EfndJTG

(信息来源于网络,安华金和搜集整理)

【每日安全资讯】研究称黑客可通过漏洞劫持裸金属服务器,IBM将修复_第2张图片



你可能感兴趣的:(【每日安全资讯】研究称黑客可通过漏洞劫持裸金属服务器,IBM将修复)