預警：勒索軟體攻擊 HPE iLO 遠程管理界面

攻擊者現在盯上了可從互聯網來訪問的HPE iLO 4遠程管理界面，據稱加密硬碟，然後索要比特幣，那樣受害者才能拿回數據。雖然還無法百分之百確認硬碟是不是真的被加密，但我們確實知道自昨天以來，多名受害者已受到了這次攻擊的影響。

HPE iLO 4（又叫HPE Integrated Lights-Out），它是內置於某些惠普伺服器的管理解決方案，可讓管理員遠程管理設備。管理員可以使用Web瀏覽器或移動應用程序連接到iLO，管理員會看到一個登錄頁面，如下所示。

正常的HPE iLO 4登錄頁面

一旦登錄進去，管理員可以訪問日誌、重啟伺服器、查看伺服器信息及處理更多操作。不過一項更強大的功能是，能夠訪問伺服器的遠程控制台，因而全面訪問當前可訪問的操作系統外殼（shell）。由於這個原因，你絕不應該將iLO設備直接連接到互聯網，而是要求完全通過安全的VPN來訪問。

HPE iLO 4勒索軟體

今天，安全研究人員M. Shahpasandi發布了HPE iLO 4登錄屏幕的截圖，登錄屏幕上有一則「安全通告」，聲明計算機的硬碟已加密，擁有者必須支付贖金才能拿回數據。

iLO 4勒索軟體（圖片來源：Twitter）

此安全通告是通過iLO 4 Login Security Banner（登錄安全Banner）配置設置添加的。該設置位於管理- >安全- >登錄安全Banner，如下所示。

登錄安全Banner部分

攻擊者添加的這個修改後的登錄安全Banner聲明如下：

目前還不知道這則通告是不是只是一種恐嚇手段，好讓受害者乖乖付款。不過從所使用的公共電子郵件地址來看，我們確實知道已有9名受害者聯繫過攻擊者。這些電子郵件表明，受害者再也訪問不了其數據，所以它們似乎已採用某種方式經過了加密。

據M. Shahpasan聲稱，攻擊者要求將2個比特幣發送到地址19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm，才能獲得解密密鑰。到目前為止，還沒有誰將比特幣打到這個地址。

索要2個比特幣

發送到19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm

－M. Shahpasandi（@M_Shahpasandi）2018年4月25日

勒索函中值得關注的一個方面是，攻擊者聲稱，除非受害者來自俄羅斯，否則贖金價格沒得商量。這對於俄羅斯的攻擊者來說很常見，他們在許多情況下試圖避免感染俄羅斯受害者。

最後，這有沒有可能只是誘餌/擦除軟體，而不是真正的勒索軟體攻擊？勒索軟體攻擊通常為受害者提供一個獨特的ID，以區別一名受害者和另一名受害者。這防止受害者「竊取」另一名受害者支付的贖金，用來解鎖其計算機。

在諸如此類的情況下：沒有提供獨特的ID，電子郵件公開可以訪問，這很可能表明其主要目的是擦除伺服器的內容，或充當另一次攻擊的誘餌。

HPE iLO 4絕不應該直接連接到互聯網

將iLO 4之類的遠程管理工具暴露在互聯網面前從來不是件好事。只應該通過安全的VPN來訪問這類工具，防止它們被互聯網上的任何人掃描和訪問。

如果舊版本中的已知漏洞讓攻擊者得以繞過身份驗證、執行命令，並添加新的管理員帳戶，那麼將iLO暴露在公眾面前帶來的危險就更大了。鑽這些漏洞空子的腳本也唾手可得。

找到連接的iLO界面同樣輕而易舉。在搜索引擎Shodan上快速搜索一下，就會發現5000多台iLO 4設備連接到互聯網，其中許多設備使用已知易受攻擊的版本。

如果你目前在惠普伺服器中使用iLO 4，並運行舊版本，務必確保升級到最新固件。然後檢查管理員帳戶，查明有沒有帳戶是在你不知情的情況下創建的。最後但並非最不重要的一點是，確保你的iLO IP地址無法通過互聯網來訪問，只能通過VPN來訪問。不然，你完全是自找麻煩。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！