歡迎光臨
每天分享高質量文章

【每日安全資訊】研究稱黑客可通過漏洞劫持裸金屬服務器,IBM將修複

據美國科技媒體ZDNet援引一份報告內容顯示,當裸金屬(bare-metal)雲服務器重新分配給其他客戶之後,黑客依然可以通過修改韌體來重新接入該服務器。裸金屬服務器是雲計算行業使用的一個術語,指的是一次只租給一名客戶的物理服務器(硬體)。

租用裸金屬服務器的客戶可以獲得完全訪問權。他們可以隨意進行各種調整,並將服務器用於各種目的,而不必擔心服務器上的信息會被秘密共享給其他客戶——這與採用虛擬化技術的雲計算托管方案有所不同。

這種理念認為,一旦客戶使用完服務器,便可將其交還給雲計算公司,而雲計算公司則會刪除服務器上的所有軟體和客戶資料,之後再提供給其他客戶使用。

但在硬體安全公司Eclypsium進行的實驗中,該公司的安全研究人員卻發現,雲計算服務提供商可能沒有徹底清除裸金屬服務器上的配置。

該公司的團隊表示,只要對服務器的BMC韌體進行修改,便可在服務器被刪除並重新分配給其他客戶之後,重新接入該服務器。

BMC是“基板管理控制器”的縮寫,這是一種電腦/服務器組件,包含自己的CPU、儲存系統和上網接口,可以讓遠程管理員接入PC/服務器,併發送指令,執行各種任務,包括修改系統設置、重新安裝系統或者更新驅動。

Eclypsium團隊之前也曾經發現過BMC韌體的各種漏洞,例如,他們的研究人員去年曾經發現過Super Micro主板的BMC韌體漏洞。

他們在最新的實驗中使用Super Micro BMC韌體漏洞展示了黑客如何以更危險的方式濫用該漏洞,最終入侵網絡並竊取資料。

他們通過這次名為Cloudborne的測試成功將一臺裸金屬服務器的BMC韌體更新為他們事先準備的韌體。

這個新的韌體只包含一個位反轉,所以之後可以識別出來,但實際上,任何惡意代碼都可以包含在BMC韌體中。

Eclypsium建議雲計算提供商應該在重置裸金屬服務器時掃清BMC韌體,並根據不同客戶使用不同的BMC根密碼。

IBM似乎已經採納了Eclypsium的建議。該公司在昨天的博文中表示將會把所有的BMC掃清為出廠設置。不過,IBM認為這隻能算“輕微問題”,但Eclypsium卻認為該問題“非常嚴重”。

*來源:新浪科技

更多資訊

◈ 研究發現人們擔心隱私 但並不願意採取行動
根據 IBM 的一項隱私調查,人們確實對隱私越來越關心了,然而他們並沒有因此願意採取行動。調查顯示,81% 的消費者表示他們關心企業如何使用資料,87% 的消費者認為需要嚴格監管個人資料管理,75% 的人認為他們不太信任擁有其資料的公司,89% 的人表示企業在產品如何使用資料上需要更明確。
與此同時,71% 的人表示願意放棄隱私換取服務,45% 的人修改了產品的隱私設置,16% 的人因資料濫用而選擇離開。顯而易見,大資料泄露對企業財務風險很小,即使有資料大規模泄漏,企業也無需擔心,因為大多數人仍然會繼續用他們的服務。

來源:solidot.org
詳情:http://t.cn/Efnd2rt

◈ 為期半年的凈網 2019 將從下個月開始
一年一度的網絡專項整治行動即將從下個月啟動。全國掃黃打非辦公室透露,3 月至 11 月,全國將大力組織開展 “凈網 2019”“護苗 2019”“秋風 2019” 等專項行動,凈化社會文化環境。今年的整治重點是“自媒體違法違規採編、傳播有害信息、炒作敏感問題、敲詐勒索,網絡文學傳播色情和低俗內容、非法網絡直播、利用學習類 APP 傳播有害信息等”活動。
來源:solidot.org
詳情:http://t.cn/EfndbmX

◈ 一條個人信息8毛錢 警方通報300萬條信息泄露大案
去年4月初,相城公安分局漕湖派出所警方接到市民茅先生舉報,稱他的個人信息被泄露。隨後警方對此展開偵查,竟牽出一個特大個人信息泄露案。
來源:東北網
詳情:http://t.cn/Efndcae

◈ 黑龍江省網信辦依法關閉一泄露個人信息違規網站
近日,黑龍江省網信辦接網民舉報,網站“清晰的空氣”(備案域名:m.9i0.com;備案許可證號:黑ICP備18004131號—1)在網頁中發佈大量含有公民個人姓名、身份證號等個人信息,嚴重侵害了公民個人隱私,造成惡劣的社會影響。經核查,該網站違反《網絡安全法》第四十條、第四十一條“網絡運營者不得泄露、篡改、毀損其收集的個人信息”“未經被收集者同意,不得向他人提供個人信息”等相關規定。省網信辦與該網站負責人馬某多次聯繫未果後,依據《網絡安全法》第四十二條“可以責令暫停相關業務、停業整頓、關閉網站”相關要求,迅速協調相關部門和平臺,依法註銷其主體備案號。
來源:光明網
詳情:http://t.cn/EfndJTG

(信息來源於網絡,安華金和搜集整理)

    赞(0)

    分享創造快樂