新浪科技讯 北京时间2月27日早间消息,据美国科技媒体ZDNet援引一份报告内容显示,当裸金属(bare-metal)云服务器重新分配给其他客户之后,黑客依然可以通过修改固件来重新接入该服务器。
裸金属服务器是云计算行业使用的一个术语,指的是一次只租给一名客户的物理服务器(硬件)。
租用裸金属服务器的客户可以获得完全访问权。他们可以随意进行各种调整,并将服务器用于各种目的,而不必担心服务器上的信息会被秘密共享给其他客户——这与采用虚拟化技术的云计算托管方案有所不同。
这种理念认为,一旦客户使用完服务器,便可将其交还给云计算公司,而云计算公司则会删除服务器上的所有软件和客户数据,之后再提供给其他客户使用。
但在硬件安全公司Eclypsium进行的实验中,该公司的安全研究人员却发现,云计算服务提供商可能没有彻底清除裸金属服务器上的配置。
该公司的团队表示,只要对服务器的BMC固件进行修改,便可在服务器被删除并重新分配给其他客户之后,重新接入该服务器。
BMC是“基板管理控制器”的缩写,这是一种电脑/服务器组件,包含自己的CPU、存储系统和上网接口,可以让远程管理员接入PC/服务器,并发送指令,执行各种任务,包括修改系统设置、重新安装系统或者更新驱动。
Eclypsium团队之前也曾经发现过BMC固件的各种漏洞,例如,他们的研究人员去年曾经发现过Super Micro主板的BMC固件漏洞。
他们在最新的实验中使用Super Micro BMC固件漏洞展示了黑客如何以更危险的方式滥用该漏洞,最终入侵网络并窃取数据。
他们通过这次名为Cloudborne的测试成功将一台裸金属服务器的BMC固件更新为他们事先准备的固件。
这个新的固件只包含一个位反转,所以之后可以识别出来,但实际上,任何恶意代码都可以包含在BMC固件中。
Eclypsium建议云计算提供商应该在重置裸金属服务器时刷新BMC固件,并根据不同客户使用不同的BMC根密码。
IBM 似乎已经采纳了Eclypsium的建议。该公司在昨天的博文中表示将会把所有的BMC刷新为出厂设置。不过,IBM认为这只能算“轻微问题”,但Eclypsium却认为该问题“非常严重”。(书聿)
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- etherscan点击劫持漏洞
- 组合漏洞导致的账号劫持
- [浏览器安全漏洞一] dll劫持漏洞
- 前端中存在的变量劫持漏洞
- 可导致数百万玩家帐户被劫持:EA游戏帐户劫持漏洞分析
- HackerOne | 子域名劫持漏洞的挖掘指南
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
分布式机器学习:算法、理论与实践
刘铁岩、陈薇、王太峰、高飞 / 机械工业出版社 / 2018-10-20 / 89.00
人工智能和大数据时代,解决最有挑战性问题的主流方案是分布式机器学习!本书旨在全面介绍分布式机器学习的现状,深入分析其中的核心技术问题,并且讨论该领域未来的发展方向。 由微软亚洲研究院机器学习核心团队潜心力作!鄂维南院士、周志华教授倾心撰写推荐序! 本书旨在全面介绍分布式机器学习的现状,深入分析其中的核心技术问题,并且讨论该领域未来的发展方向。 全书共12章。第1章是绪论,向大家展......一起来看看 《分布式机器学习:算法、理论与实践》 这本书的介绍吧!