科技资讯网
 

华录蓝光 数码条记本整机 办公配备收集配备无线收集 挪动存储数字家电安防照相东西显示配备游戏 办公耗材
 

首页 > 业界 > 正文

研讨称黑客可通过漏洞钳制裸金属效劳器 IBM将修复

时间:2019-02-27 10:50:46 根源:新浪科技 评论:0 点击:0

  北京时间2月27日早间新闻,据美国科技媒体ZDNet征引一份报告实质显示,当裸金属(bare-metal)云效劳注重械乐配给其他客户之后,黑客仍然可以通过改正固件来从头接入该效劳器。

  裸金属效劳器是云盘算行业运用的一个术语,指的是一次只租给一名客户的物理效劳器(硬件)。

  租用裸金属效劳器的客户可以取得完备拜访权。他们可以随便举行种种调解,并将效劳器用于种种目标,而不必担忧折务器上的新闻会被秘密共享给其他客户——这与采用虚拟化技能的云盘算托管方案有所差别。

  这种理念认为,一朝客户运用完效劳器,便可将其交还给云盘算公司,而云盘算公司则会删除效劳器上的通通软件和客户数据,之后再供应应其他客户运用。

  但硬件平安公司Eclypsium举行的实行中,该公司的平安研讨职员却发明,云盘算效劳供应商可以没有彻底肃清裸金属效劳器上的配备。

  该公司的团队外示,只消对效劳器的BMC固件举行改正,便可效劳器被删除并重械乐配给其他客户之后,从头接入该效劳器。

  BMC是“基板办理掌握器”的缩写,这是一种电脑/效劳器组件,包罗本人的CPU、存储体系和上彀接口,可以让长途办理员接入PC/效劳器,并发送指令,施行种种义务,包罗改正体系修立、从头安装体系或者更新驱动。

  Eclypsium团队之前也一经发明过BMC固件的种种漏洞,比如,他们的研讨职员客岁一经发明过Super Micro主板的BMC固件漏洞。

  他们最新的实行中运用Super Micro BMC固件漏洞展现了黑客怎样故更伤害的方法滥用该漏洞,最终入侵收集并攫取数据。

  他们通过此次名为Cloudborne的测试胜利将一台裸金属效劳器的BMC固件更新为他们事先准备的固件。

  这个新的固件只包罗一个位反转,以是之后可以识别出来,但实行上,任何恶意代码都可以包罗BMC固件中。

  Eclypsium倡议云盘算供应啥荭该重置裸金属效劳器时革新BMC固件,并依据差别客户运用差别的BMC根密码。

  IBM仿佛曾经采用了Eclypsium的倡议。该公司昨天的博文中外示将会把通通的BMC革新为出厂修立。不过,IBM认为这只可算“细微题目”,但Eclypsium却认为该题目“十分告急”。

返回频道: 业界
作品排行榜更众
近来更新更众