安全厂商Amnpardaz揭露潜伏于HPE iLO韧体内的iLOBleed，这只恶意程序无法经由韧体更新移除，还能控制iLO韧体更新。

安全厂商Amnpardaz指出，使用iLO5韧体的HPE G10系列是唯一能幸免于iLOBleed攻击的服务器，但用户必须主动启动Secure-Boot机制。

研究人员发现一只恶意程序专门锁定HPE iLO软件及装置，旨在删除HPE服务器上的资料，即使升级iLO韧体也难以防堵。

伊朗安全厂商Amnpardaz揭露其在HPE iLO韧体内，发现一只名为iLOBleed的rootkit，无法经由韧体更新移除，可用于长期潜伏攻击，研判它已经被黑客组织用来攻击用户一段时日。安全厂商相信这是第一只攻击iLO韧体的恶意程序。

iLOBleed 的命名，是来自于专门锁定HPE的iLO（INTEGRATED LIGHTS-OUT）软件。

HPE服务器通常搭配一款iLO管理模块。iLO管理模块可以嵌入服务器或工作站运作，可协助管理服务器软硬件、安装安全更新，远端存取系统控制台、安装CD/DVD映像档等，即使服务器硬件在关机状态下也能执行。研究人员指出，iLO的几项特点，包括具备高度权限，可在任何OS层执行、也能存取硬件底层、管理员及安全工具看不到、市面上很少能监控和防护iLO的方案，懂的人也不多，使其成为恶意程序及APT组织的理想犯罪工具。

攻击者可能经由旧版iLO韧体漏洞，或是从连接的伺服主机植入iLOBleed。研究人员发现它主要行为是一只wiper程序，可删除嵌入iLO装置的服务器硬盘资料，但它的行为不只如此。

研究人员发现iLOBleed还能控制iLO韧体更新，即使管理员升级韧体以修补漏洞，也会被它降成旧版软件，而为了掩饰这点，它还会伪造讯息及日志记录，假装更新已经成功。所有没有防止窜改韧体的安全开机（Secure-Boot）机制的产品，包括跑iLO4及更早之前版本韧体的HP ProLiant Server G9以前产品，都可能遭iLOBleed变更削弱安全性。

唯一能幸免于外的是2021年12月推出、使用iLO5韧体的G10系列，但用户必须主动启动Secure-Boot机制。

根据这桩攻击的手法高明程度，研究人员推测是由国家支持的进阶渗透攻击（advanced persistent threat, APT）黑客组织所为，安全公司表示近期内将释出检测iLO韧体及感染的工具。