Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonDe nouvelles vulnérabilités signifient qu'il est temps de revoir les interfaces du serveur BMC
Deux vulnérabilités récemment découvertes dans les contrôleurs de gestion des plinthes largement utilisés pourraient donner aux acteurs malveillants distants et locaux un contrôle total sur les serveurs.
La fréquence et la gravité des problèmes de sécurité détectés au fil des années dans le micrologiciel des contrôleurs de gestion de la carte mère (BMC) présents dans les cartes mères des serveurs mettent en évidence un domaine souvent négligé, mais pourtant critique, de la sécurité de l'infrastructure informatique. Le dernier ajout à la liste croissante de failles concerne deux vulnérabilités dans une interface de gestion « light-out » largement utilisée par différents fabricants de serveurs. Lorsqu'ils sont exploités ensemble, ils pourraient fournir aux attaquants distants et locaux un contrôle total sur les serveurs concernés à un niveau faible et difficile à détecter.
« L’impact de l’exploitation de ces vulnérabilités comprend le contrôle à distance des serveurs compromis, le déploiement à distance de logiciels malveillants, de ransomwares et d’implantation de micrologiciels ou le bris de composants de la carte mère (BMC ou potentiellement BIOS/UEFI), les dommages physiques potentiels aux serveurs (surtension/briquage du micrologiciel), et des boucles de redémarrage indéfinies qu'une organisation victime ne peut pas interrompre », ont récemment déclaré des chercheurs de la société de sécurité des micrologiciels Eclypsium dans un rapport. "Les lumières sont éteintes, en effet."
Les BMC sont des microcontrôleurs spécialisés dotés de leur propre micrologiciel et système d'exploitation, d'une mémoire dédiée, d'une alimentation et de ports réseau. Ils sont utilisés pour la gestion hors bande des serveurs lorsque leurs systèmes d'exploitation principaux sont arrêtés. Les BMC sont essentiellement des ordinateurs plus petits qui fonctionnent à l'intérieur des serveurs et permettent aux administrateurs d'effectuer des tâches de maintenance à distance, comme la réinstallation des systèmes d'exploitation, le redémarrage des serveurs lorsqu'ils ne répondent plus, le déploiement de mises à jour du micrologiciel, etc. C'est ce qu'on appelle aussi parfois la gestion des lumières éteintes.
Les chercheurs en sécurité ont mis en garde contre les problèmes de sécurité liés aux implémentations de BMC et à la spécification IPMI (Intelligent Platform Management Interface) qu'ils utilisent depuis au moins une décennie. Les vulnérabilités comprenaient des informations d'identification et des utilisateurs codés en dur, des erreurs de configuration, un cryptage faible ou absent, ainsi que des bogues de code tels que des débordements de tampon. Même si ces interfaces de gestion devraient fonctionner sur des segments de réseau isolés, des centaines de milliers d’entre elles ont été exposées à Internet au fil des années.
L'année dernière, des chercheurs ont découvert un implant malveillant baptisé iLOBleed, probablement développé par un groupe APT et déployé sur les serveurs Hewlett Packard Enterprise (HPE) Gen8 et Gen9 grâce à des vulnérabilités du BMC HPE iLO (HPE's Integrated Lights-Out) connues depuis. 2018.
En 2018, des attaquants auraient déployé un programme de rançongiciel appelé JungleSec sur des serveurs Linux en tirant parti d'interfaces IPMI non sécurisées utilisant les informations d'identification d'administrateur par défaut. En 2016, Microsoft a signalé qu'un groupe APT baptisé PLATINUM avait exploité la fonctionnalité Serial-over-LAN (SOL) de la technologie de gestion active (AMT) d'Intel pour mettre en place un canal de communication secret pour transférer des fichiers. AMT est un composant d'Intel's Management Engine (Intel ME), une solution de type BMC qui existe dans la plupart des processeurs de bureau et de serveur Intel.
Les chercheurs d'Eclypsium ont découvert et divulgué deux nouvelles vulnérabilités dans MegaRAC, une implémentation du micrologiciel BMC développée par American Megatrends (AMI), le plus grand fournisseur mondial de micrologiciels BIOS/UEFI et BMC. Les fabricants de serveurs qui ont utilisé AMI MegaRAC dans certains de leurs produits au fil du temps incluent AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, NVidia, Qualcomm, Quanta et Tyán.
Ce n'est pas la première fois qu'Eclypsium découvre des vulnérabilités BMC. En décembre 2022, la société a divulgué cinq autres vulnérabilités identifiées dans AMI MegaRAC, dont certaines permettaient l'exécution de code arbitraire via l'API Redfish ou fournissaient un accès SSH à des comptes privilégiés en raison de mots de passe codés en dur.
Les deux nouvelles vulnérabilités se situent également dans l'interface de gestion de Redfish. Redfish est une interface standardisée pour la gestion hors bande qui a été développée pour remplacer l'ancien IPMI.