Une faille de clé de chiffrement codée en dur non corrigée dans les outils d’intégration Compellent pour VMware (CITV) de Dell permet aux attaquants de déchiffrer les informations d’identification d’administrateur vCenter stockées et de récupérer le mot de passe en clair.
La faille est causée par une clé de chiffrement AES statique, partagée entre toutes les installations, qui est utilisée pour chiffrer les informations d’identification vCenter stockées dans le fichier de configuration du programme.
Dell Compellent est une gamme de systèmes de stockage d’entreprise offrant des fonctionnalités telles que la progression des données, le volume en direct, le provisionnement léger, les instantanés et le clonage des données et la gestion intégrée.
Le logiciel prend en charge l’intégration du stockage avec VMware vCenter, une plate-forme largement utilisée pour la gestion des machines virtuelles ESXi.
Cependant, pour intégrer le client, il doit être configuré avec les informations d’identification VMware vCenter, qui sont stockées dans le fichier de configuration chiffré du programme Dell.
Une clé de chiffrement AES codée en dur
Le chercheur de LMG Security, Tom Pohl, a découvert lors d’un exercice de pénétration que Dell CITV contient une clé de chiffrement AES statique qui est identique pour tous les clients Dell sur toutes les installations.
Cette clé de chiffrement AES est utilisée pour chiffrer le fichier de configuration CITV contenant les paramètres du programme, y compris les informations d’identification d’administrateur vCenter entrées.
Comme AES est un chiffrement symétrique, il utilise la même clé pour chiffrer et déchiffrer les données. Cela permet à un attaquant qui extrait la clé de déchiffrer facilement le fichier de configuration et de récupérer le mot de passe chiffré.
« Le logiciel Dell a besoin d’informations d’identification administratives vCenter pour fonctionner correctement, et il protège ces informations d’identification dans leurs fichiers de configuration avec une clé AES statique », a déclaré Pohl à Breachtrace.
« Dell interagit avec les serveurs vCenter et conserve ses informations d’identification dans un fichier de confih crypté qui devrait être complètement inaccessible pour être visualisé par quoi que ce soit d’autre que le logiciel Dell. »
« Les attaquants ne devraient pas pouvoir accéder au contenu de ce fichier, mais il est accessible. Cependant, en raison de cette vulnérabilité récemment découverte, les attaquants peuvent extraire la clé de chiffrement que le logiciel Dell utilise pour protéger le contenu de ce fichier. «
L’équipe de LMG Security a découvert que le répertoire du logiciel Dell Compellent contient un fichier JAR qui, une fois décompilé, a révélé une clé AES statique codée en dur.
À l’aide de cette clé AES, Pohl peut déchiffrer le fichier de configuration Dell Compellent et récupérer le nom d’utilisateur et le mot de passe de l’administrateur VMware vCenter, comme indiqué ci-dessous.
Le serveur contenant cette clé était accessible à l’aide d’informations d’identification faibles (admin/admin). Cependant, comme on l’a vu à plusieurs reprises, les acteurs de la menace peuvent accéder aux serveurs de différentes manières en raison de vulnérabilités ou de mauvaises pratiques.
De plus, le problème pourrait être exploitable par des initiés malveillants ou des attaquants externes à faibles privilèges qui ont accès à Dell CITV.
Dans ce cas, l’équipe LMG aurait pu aller plus loin en tirant parti de l’accès aux contrôles de domaine, mais a plutôt choisi de créer un compte d’administrateur de domaine, exploitant l’opportunité lorsqu’un administrateur réseau a laissé par erreur sa console déverrouillée.
Les analystes ont envoyé un e-mail à Dell pour les informer de leur découverte le 11 avril 2023, mais le fournisseur d’ordinateurs et de logiciels a initialement rejeté le rapport, se méprenant sur la portée.
Après de nouvelles communications, Dell a promis de déployer un correctif d’ici novembre 2023.
Comme la politique standard de divulgation des vulnérabilités de 90 jours a expiré, Pohl a publiquement partagé ses recherches lors d’une session DEFCON intitulée « Clés privées dans les lieux publics ».
Pohl a découvert des clés codées en dur similaires dans Netgear et Fortinet en 2020, qui ont ensuite été corrigées.