در تاریخ 25 آوریل 2018 یکی از مهندسین امنیت به نام M. Shahpasandi در تویت خود اعلام کرد در HPE iLO 4 یک حفره امنیتی وجود دارد که به هکرها اجازه می دهد باج افزارها و کدهای مخرب خود را اجرا کنند و داده های موجود روی سرور را رمزگذاری کنند. همچنین مدیران شبکه را مجبور می کنند با پرداخت تعدادی Bitcoins بتوانند دوباره به اطلاعات خود دسترسی داشته باشند.

     پیغام باج افزار بر روی اینترفیس iLO  

همانطور که می دانید اینترفیس iLO به مدیران شبکه این امکان را می دهد که بتوانند از راه دور به سرورهای خود بوسیله یک Web Browser and Mobil app متصل شوند و کارهای مدیریتی خود را بر روی سرور انجام دهند.

وقتی باج افزار روی iLO  سرور اجرا شود در مرحله اول تمام اطلاعات موجود در سرور را رمزگذاری می کند و در مرحله دوم محتوای Login security banner را با متن زیر تغییر می دهد:

Security Notice

Hey. Your hard disk is encrypted using RSA 2048 asymmetric encryption. To decrypt files you need to obtain the private key.

It means We are the only ones in the world to recover files back to you. Not even god can help you. Its all math and cryptography .

If you want your files back, Please send an email to 15fd9ngtetwjtdc@yopmail.com.

We don't know who are you, All what we need is some money and we are doing it for good cause.

Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again.

You can use of that bitcoin exchangers for transfering bitcoin.

https://localbitcoins.com

https://www.kraken.com

Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.

Process:

1) Pay some BTC to our wallet address.(negotations almost impossible unless you are a russian citizen)

2) We will send you private key and instructions to decrypt your hard drive

3) Boom! You got your files back.

 

قسمت جالب این پیغام اینجاست که مبلغ پرداختی قابل مذاکره نیست به جز برای قربانیان روسی!!! که همین باعث شده است همه فکر کنند هکرها روسی هستند. به گفته M. Shahpasandi هکرها خواستار ارسال دو عدد Bitcoins به ادرس 15fd9ngtetwjtdc@yopmail.com برای بازیابی اطلاعات و ارسال Private key هستند.

توصیه های امنیتی:

برای جلوگیری از چنین سوء استفاده های توصیه می شود هرگز iLO 4 را مستقیما به اینترنت منتصل نکنید همچنین شبکه را بصورتی طراحی کنید که فقط مدیران مجاز دسترسی به iLO  داشته باشند. اتصال iLO 4 به اینترنت علاوه بر این حفره امنیتی دارای ضعفها و حفرهای امنیتی قدیمی  می باشد که به هکرها اجازه می دهد اکسپلویت خود را اجرا کنند و پروسه Authentication را bypass کنند وکارهای ناخواسته ای بر روی سرور انجام دهند.

اگر از نسخه iLO4 و ورژن های قدیمی استفاده می کنید حتما اخرین نسخه firmware ها را دانلود و بر روی سرور خود نصب کنید.