固件安全：被忽视的企业安全“软肋”

在软件安全性逐步提升的同时，固件和硬件安全成为热点安全问题。实际上，固件近年来已成为攻击者的热门目标。  

一、固件成热门攻击目标

二、被忽视的攻击面

从智能手机到服务器，几乎所有设备都包含固件。计算机包含许多固件，从USB键盘到图形和声卡，应有尽有；即使是计算机电池也包含固件。考虑到固件的广泛普遍性，人们会自然地期望固件安全问题会被置于首位考虑——但遗憾的是，这距离事实很遥远。

与频频暴出的固件漏洞、日益猛烈的固件攻击形成对比的是，固件依然是设备中容易被忽视的组件，日益增长的固件攻击似乎没有得到足够的关注。

固件通常是常规漏洞管理工具和流程的盲区。大多数漏洞扫描器关注的是软件，回避了固件漏洞和硬件配置错误扫描。另外，对于指定的设备，人们并不总是清楚其内部是否安装了最新固件，有漏洞的固件是否已经被正确地更新。这就给CISO们和安全团队提出了挑战，他们需要具备确认产品固件状态的能力，而不是完全靠他们提供商的漏洞更新流程。

基于固件的恶意软件很大程度上被安全团队所忽略，这使得服务器，存储和网络设备中的固件成为企业安全的“软肋”。根据微软的调查，企业对固件保护没有给予足够的投入，只有29％的安全预算被用于固件保护；21％的被调查的决策者承认，公司的固件数据未受到任何监测。

目前不要指望固件漏洞的增长速度会减弱。一方面，笔记本电脑，服务器和网络设备中组件的数量和复杂性不断增加。在英特尔披露的2020年的安全漏洞中，93个属于驱动和其他软件漏洞，66个为固件漏洞，58个为固件和软件组合漏洞。此外，从攻击者的角度来看，固件是具有异常高价值的战略目标。固件使攻击者可以轻易访问可被窃取或用于勒索的数据。此外，通过固件攻击，可以对组件或整个设备进行完全禁用。固件还为攻击者的长期攻击提供了途径。

安全公司Eclypsium认为，三大因素导致固件迅速发展成为网络安全的关键领域，其中包括：暴出的固件漏洞数量不断增加；在野攻击越来越多地针对固件漏洞；固件漏洞利用为攻击者提供了最高级别的特权和系统控制权，攻击者的动机可以包括，获得最高特权级别、绕过传统安全防护、持久攻击、隐形，以及对设备的破坏。

目前，安全团队不能完全了解作为固件嵌入的代码量以及其基础结构中包含固件的组件数量。以笔记本电脑为例，其包含的数十个组件都拥有自己的固件（通常有数百万行代码），容易受到可能影响漏洞和设计缺陷的影响。此外，硬件设计周期很长，固件更新被越来越多地用于解决硬件问题，这也引入了新的攻击媒介。

三、固件漏洞同样成“军火库”标配

固件漏洞特性使其成为近十年来国家支持的网络黑客和APT组织实施攻击的首选。针对固件层的恶意代码可以使攻击者代码首先被运行，从而实现抢占操作系统的目的。这样攻击者就可以控制boot程序，安装系统补丁，破坏安全控制，获取至高权限，从而控制整台设备。固件漏洞同时也使得攻击具备可靠的持久性。攻击者通过在固件而不是驱动内注入恶意代码，就可以保证恶意代码在系统重新镜像，甚至更换存储驱动器后仍然存在。

2020年，固件安全形势发生了重要的变化。出于经济动机的网络黑客开始借鉴APT组织的做法，针对固件开展了声势浩大的勒索软件攻击。APT和勒索软件发起者对企业VPN和网络基础设施实施大规模的攻击。像Trickbot这种流行的恶意软件集成了新的针对固件的检测能力，同时也发现了在野的新型固件植入和勒索软件攻击方式。

总体上讲，2020年的网络安全态势是过去这些年的延续和加速——固件漏洞不仅是由国家赞助的网络黑客利用的秘密工具，它也越来越多地成为许多其他网络恶意攻击者的“军火库”标配。

随着越来越多的联网设备推出，固件安全问题将成倍放大。2020年联网设备预计将达到300亿。2025年，联网的IoT设备将达到750亿个。在这样互联的世界中，固件安全问题对机构安全和个人隐私构成了危险威胁。

固件风险影响到企业IT行业技术栈的各个方面——包括终端笔记本、服务器和云计算基础设施、网络基础设施以及供应链技术本身。目前机构纷纷对远程办公模式提供支持，攻击者也随时准备利用远程办公用户联网所需的基础设施发起攻击。企业必须根据安全形势的最新进展，使用工具和流程及时评估和解决安全风险。

Eclypsium在其发布的《评估2021年企业固件安全风险》报告中，根据过去一年主要发展趋势，为企业领导者提供了固件安全自评估的方法。

机构的固件安全评估需要回答如下问题：

1. 漏洞管理流程和工具是否包含固件安全？

2. 是否可以检测固件威胁及固件篡改行为？

3. 对技术供应链风险是否做到可视和可控？

4. 安全运营中心和IR团队是否能解决固件威胁？

5. 是否准备好应对固件相关业务风险？

这五大问题并非固件安全话题的完整清单，但可提供固件安全自评估的方法。

漏洞管理是任何安全活动最基本的工作之一。尽管对于软件和操作系统来说，漏洞扫描和程序修补工作已成为了安全标准实践，但是对于设备内部固件，企业还是缺乏有效的工具来执行同样严格的漏洞审核程序。企业对固件安全的重视程度必须等同于操作系统安全和应用安全。

2020年数起安全事件突显了固件漏洞风险的重要性和紧迫性：

2020年，最主要来自国家支持的网络黑客，以及包括Revil Sodnikibi、NetWalker、Maze等勒索软件瞄准的首要目标就是VPN漏洞。这些漏洞通常与网络设备固件直接关联，而且漏洞一旦被披露，就很快能被攻击者利用。例如，广受攻击的CVE-2019-19781漏洞影响到的是Citrix设备固件。2019年12月该漏洞刚刚被披露，2020年1月，攻击者就利用其实施网络攻击。其它受攻击的供应商还包括Cisco、Pulse Secure、F5。这些攻击正是利用了企业对雇员在家工作的支持需求不断增加，借助其理想的网络传输通道，将恶意软件传递到企业用户端。

2020年7月披露的Boothole漏洞，影响到了大多数Windows和Linux系统，攻击者可在boot过程中实现任意代码执行攻击，即使Secure Boot已经配置的情况下也不受影响。攻击者可以在有漏洞的系统内安装超级bootkit。

很多公司并不扫描固件漏洞，但流行的恶意软件却做了这件事。Trickbot恶意软件增加了名为“TrickBoot”的新模块，以检查固件内部是否存在众所周知的安全漏洞，这些漏洞使得攻击者可以对设备的UEFI/BIOS固件执行读、写或者删除操作。

企业需要补充针对固件漏洞的管理工具和流程。要控制风险就必须掌握包括笔记本电脑、服务器、网关等一系列设备或组件的安全情况。

安全建议

固件漏洞威胁是攻击者能够使用的最有力的工具之一。企业必须有对应的工具和流程对这一至关重要层面进行威胁检测。

2020年著名的固件威胁包括：

 新发现的TrickBoot模块是恶意软件发展迈出的重要的一步。TrickBot被各种各样的恶意软件包括臭名昭著的Ryuk勒索软件所广泛使用，且一直长期被黑客们积极维护。提权、网络传播、建立持久性，TrickBot的这些能力使其在勒索软件杀伤链中扮演了至关重要的角色，此次TrickBoot大大升级了这些能力，在UEFI固件内部的持久性和提权方面实现了重要的突破。

研究人员发现， 植入在UEFI中的MosaicRegressor恶意软件可以用于执行针对性攻击，它能够长期潜伏在目标组织内部、逃避网络安全控制、发送恶意负载。该恶意软件始终在野活动，且在今后两年乃至更长时间内都无法被杀毒产品检测到。值得注意的是，MosaicRegressor很大程度上依赖于Hacking Team的公开组件Vector-EDK UEFI rootkit，这表明攻击者可以轻易地重新打包和使用已有的恶意软件植入工具来发动新的攻击。

TrickBoot不是唯一的针对固件和设备底层的勒索软件。新发现的EFILock使用了恶意的bootloader来破坏boot过程，从而控制肉鸡的权限。EFILock最初是针对没有使用Secure Boot的机器。然而，BootHole漏洞却可以让类似EFILock的攻击软件去攻击一台哪怕已经配置了SecureBoot的设备。2020年其它针对固件的勒索软件也依然继续活跃，例如针对MBR的Thanos以及QSnatch，这些软件通过操控QNAP NAS设备的固件导致数据备份功能失效，阻止固件程序更新程序运行。

2020年对于远程工作者来说，VPN不是唯一需要担心的方面。企业向远程工作模式的转移不断增加了远程连接对BYOD（Bring Your Own Device）和SOHO网络设备的依赖程度。针对这些设备固件的攻击成为了网络攻击的重要方面。复活的Mirai botnet利用了F5 BIG-IP控制器漏洞来感染loT和其他Linux设备。攻击者针对远程办公员工所依赖的家庭办公网络设备发动了攻击，例如，针对SOHO Cisco routers的在野攻击以及之前俄罗斯黑客发动的针对企业和SOHO网络设备的大型网络攻击等都是这种攻击类型。

以上攻击事件突出了攻击者攻击固件层可以有多种途径。然而，不管攻击者使用的是恶意软件、远程网络连接还是物理抵近，主要的攻击策略还是一致的：攻击者利用存在安全漏洞的固件，控制整个设备，并且在保持攻击长期持续存在的同时几乎不被传统的安全软件察觉。

为了应对以上安全风险，企业必须能够验证所有固件的完整性，检测固件内部已知或未知的安全漏洞，包括持续监控检测固件篡改行为，以及发现可疑行为时的检查。不幸的是，固件和硬件安全问题对企业来说通常是个挑战。传统的安全控制常局限于操作系统和软件层，企业对底层安全威胁缺乏一定的认知。

安全建议

大多数组织惯常去处理来自外部的威胁，比如恶意软件。其实技术供应链风险本身也在迅速成为重要的风险源头。早在设备被传递或箱装到最终用户手中之前，供应链方面漏洞或破坏就已经可以影响设备安全。这给设备安全提出了特有的挑战，因为它改变了设备初始的预设信任状态。即使在设备部署之后，攻击者仍可以利用企业和供应商之间的信任关系，对供应商的升级程序进行破坏活动。

另外，许多厂商组件包含了大量第三方上游供应商代码，这些代码也可能会带有安全漏洞，存在安全风险。组织很容易从厂家继承这些安全风险，或者从可信的合作方继承固件相关的安全问题，给设备运营带来潜在的严重后果。

美国智库大西洋理事会(Atlantic Council)的《打破信任:不安全软件供应链中的危机阴影》报告，重点强调了这方面的安全问题。报告基于过去10年（2010-2020年）公开报道的115个软件供应链攻击和泄露事件，其中包括针对联想设备、微软内核、loT设备以及外部组件的供应链攻击事件。

供应链安全方面的挑战包括：

披露的一系列事件凸显了在常用的软件、软件库以及组件方面存在的严重威胁。Ripple20和Amnesia:33漏洞实际代表了TCP/IP库中的几十个漏洞，影响了全球大量的供应商。在供应链中使用含有漏洞的代码意味着将会影响许多设备，从笔记本电脑、服务器到打印机、医疗设备以及重要的基础设施。同样，Urgent/11漏洞也影响了工业界大多数流行的实时操作系统（RTOS），在漏洞披露后的一年内，仍有97%的设备未及时打上安全补丁。

安全威胁也可以借助升级程序渗透到供应链。在披露的SUNBURST恶意软件攻击中，攻击者通过破坏SolarWinds的升级基础设施，对超过18000个SolarWinds用户植入恶意后门。该攻击事件与之前的ShadowHammer攻击原理类似。ShadowHammer攻击也是通过破坏ASUS升级服务器向成千上万的用户推送恶意软件。在这两起攻击事件中，升级程序都含有正确的签名，看上去都是有效的。虽然SUNBURST攻击与固件攻击没有直接关联，但是执行该攻击的可疑攻击者之前曾经发动过针对固件的持久性攻击。此外，鉴于完全正确的系统也有遭受破坏的可能性，对固件开展异常行为的监控则显得尤其重要。

供应链问题即使被发现之后也不是很容易解决。因为技术供应链本身依赖很多因素。软件升级只需从单一供应商下载升级程序即可，固件升级却需要一群供应商的合作才能完成，每个供应商只负责完成自己部分的测试。BootHole漏洞就是明证。该漏洞影响了几乎所有的Linux版本，需要每个版本都发布新的bootloader垫片。这个问题还延伸至任何使用具有Microsoft Third Party UEFI Certificate Authority 标准的Windows 设备。OEM厂商和操作系统供应商在执行升级操作前会非常谨慎，因为更新程序有可能带来严重的稳定性问题。从一个供应链问题被披露到企业用户真正安装上补丁，可能会耗费大概一年乃至更长的时间。这种不确定性促使组织有必要能够独立掌握他们设备漏洞的情况。

解决供应链风险需要工业界以及个体企业的共同努力。美国国家标准与技术研究（NIST）和国家网络安全卓越中心（NCCoE）已经把供应链风险管理（SCRM）置为最高优先级。NCCoE宣布的供应链保障计划，在《供应链安全保障验证计算设备完整性》的报告中发布了更多的细节。该计划对现代技术供应链相关的风险给出了定义，旨在为组织提供能够使用的安全解决方案，帮助他们验证设备的完整性，确保组件在生产或发布过程中没有被篡改。

不像有些其它与供应商有关的风险，供应链风险管理不能完全传送到供应商。SUNBURST事件已经表明，在SCRM范畴内，组织必须保留部分对企业产品安全的掌控权，以便从内部直接解决由于供应链完整性问题的安全风险。随着像SUNBURST这样的软件在进一步对组织造成破坏，“信任：但要核查”的理念将会持续深入。组织需要有验证设备固件完整性的工具，确保新购的设备是正确的，其未在供应链中被恶意篡改。同样的，公司必须能力检测设备固件潜在的弱点或漏洞。

安全建议

攻击者使用固件漏洞是因为固件级植入具备持久性，能逃避操作系统级的安全防护。因此，组织在威胁捕获、事件响应、故障恢复过程时，必须将固件威胁纳入分析范围。如果没有能力验证固件完整性，移除固件植入，组织会陷入不断被重复感染的境地。

组织应该在大量事件响应活动中考虑固件安全，包括

组织需要理解现有的告警基础设施将如何应用于固件安全告警。SIEM有无处理固件告警？安全措施有无根据固件完整性和行为、设备增加的恶意代码、BMC连接等异常给予告警？

取证流程是否延伸到固件分析？威胁狩猎工具能否查找环境中不寻常的固件行为？狩猎人员有无工具手段对可疑固件进行分析？

关于何时将固件问题纳入诊断和响应流程内，IR团队有无进行过相关培训？IR知识库中有无覆盖固件这一可能的初始感染载体？在移动装置被重新连接到网络前，团队是否已经建立相关手册说明？

2020年的攻击事件突出表明将固件纳入标准IR工作内容的重要性。

2020年披露的MosaicRegressor是在野发现的最隐蔽的UEFI rootkit。MosaicRegressor让攻击者可在目标组织持久存在，即使系统被重新镜像或完全更换了硬盘驱动器也无济于事。该植入方法复用了很容易获得的 Hacking Team的Vector-EDK UEFI rootkit组件，这表明类似的攻击威胁今后将很容易发展壮大。MosaicRegressor同前几年使用的LoJax恶意软件UEFI rootkit类似，都是通过固件攻击来保持持久的侵入性以发动更大规模的攻击。

2020年QSnatch勒索软件仍然继续构成安全威胁，攻击者利用该软件能够攻击所有的QNAP NAS设备，他们不仅针对固件发起攻击，而且增加了一定的措施确保固件永远无法更新。

在本报告中，针对网络基础设施的攻击是一直贯穿始终的话题，也将应用在威胁狩猎和事件响应活动中。安全团队不仅需要考虑网络设备本身固件的安全还要考虑他们提供服务的设备固件的安全，自然需要对网络设备完整性进行验证，确保没有被破坏。一旦发现可疑攻击，安全团队需要对终端用户和内部设备进行完整性检查，确保设备固件没有被经由VPN传播的恶意软件所攻击。

威胁狩猎需要考虑SUNBURST攻击所带来的安全启示。SUNBURST攻击者优先考虑了攻击的隐蔽性，执行该攻击的可疑攻击者之前曾经发动过针对固件的持久性攻击。因此，被SUNBURST影响的组织必须对设备固件层进行主动监控，对被SUNBURST攻击过的设备进行固件级取证。

其它形态的恶意软件也在不断采取固件层攻击策略，对于IR团队和威胁狩猎团队来说，对设备固件进行安全分析的工作显得更加重要。

安全建议

固件安全风险的上升不仅仅关系到企业安全团队。行业分析师、监管机构甚至普通大众都在共同关注，组织必须准备好迎接随之而来的新安全治理和潜在业务风险。

Gartner和Forrester相关报告中，对固件安全状态以及未及时解决固件漏洞的企业给出了严重警告。这是一个强烈的信号，表明固件安全威胁的影响力已经不再停留于国家级网络攻击，或是黑客大会的热门话题。机构要准备好回答来自管理方、合作方以及用户提出的关于固件安全保障的相关问题。

基于固件技术的勒索软件攻击事件突出表明了在组织整个运营过程中固件安全的重要性。攻击者利用固件不仅可以控制设备实施勒索，同时也可以导致设备完全失效。固件影响不仅限于恶意攻击。关键设备中如存在未更新的固件则会导致稳定性问题，从而影响整个组织的运营能力。安全和IT领导者需要了解他们所有关键设备的固件情况，保护组织免受意外的攻击和破坏。

法规监管是固件安全引起关注的另一项内容。多个NIST文件，包括《网络安全框架》以及新出版的SP 800-53 R5，都很大程度上关注固件的管理风险以及安全控制落实情况。应行业要求，PCI安全标准委员会出版了PCI DSS v.3.2.1与NIST的《网络安全框架》v.1.1之间的内容映射关系。FISMA control也反复明确地强调对安全固件的需求。所有这些表明各种组织在越来越多地寻找标准化手段确保技术栈各层的安全性。

随着人们对固件和硬件安全问题的重视程度不断增加，焦点落在企业的固件安全上面就不足为奇了。尽管机构对这些安全要求的具体落实情况会有所区别，但是很重要的一点是，机构必须明确认识到，对于自身以及其他第三方供应商，固件和硬件安全要严格遵从相关标准法规。

安全建议

固件安全迅速成为现代企业安全实践的重要部分。来自行业分析师的建议、业界规范发生的变化、网络安全形势的不断发展都在表明，固件安全的重要性在不断增加。

大多数固件攻击利用代码的错误，防止固件攻击的最佳方法是确保开发过程中遵循安全准则。因此，固件安全性主要由硬件制造商所掌控。但企业安全管理人员需要知道，固件受到攻击的风险确实存在，固件必须像其他任何软件一样进行更新。

NIST在其相关文件中也建议，固件更新应被视为网络安全基础准则的必要和重要组成部分。

在《如何减轻数据中心、公共云和私有云中的固件安全风险》报告中，Gartner也强调了固件更新的重要性，并为基础设施和运营（I＆O）负责人提供了固件更新的指南。

负责基础设施的I＆O领导者应：

文章来源：虎符智库