Deux nouvelles vulnérabilités de gravité critique ont été découvertes dans le logiciel MegaRAC Baseboard Management Controller (BMC) fabriqué par la société de matériel et de logiciels American Megatrends International.
MegaRAC BMC fournit aux administrateurs des capacités de gestion de système à distance « hors bande » et « hors tension », leur permettant de dépanner les serveurs comme s’ils se trouvaient physiquement devant les appareils.
Le micrologiciel est utilisé par plus d’une douzaine de fabricants de serveurs qui fournissent des équipements à de nombreux fournisseurs de services cloud et de centres de données. Les fournisseurs concernés incluent AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, Hewlett-Packard Enterprise, Huawei, Ampere Computing, ASRock, etc.
Les chercheurs en sécurité d’Eclypsium ont découvert les failles (suivi comme CVE-2023-34329 et CVE-2023-34330) après avoir analysé le code source AMI volé par le gang de rançongiciels RansomEXX après avoir violé le réseau du géant du matériel informatique GIGABYTE, l’un des partenaires commerciaux d’AMI.
Comme l’a signalé Breachtrace, les attaquants de la menace RansomEXX ont publié les fichiers volés en août 2021 sur leur site de fuite de données sur le Web sombre.
Les deux failles de sécurité permettent aux attaquants de contourner l’authentification ou d’injecter du code malveillant via les interfaces de gestion à distance Redfish exposées à l’accès à distance :
- CVE-2023-34329 – Contournement de l’authentification via l’usurpation d’en-tête HTTP (score de base CVSS 3.0 de 9,9/10)
- CVE-2023-34330 – Injection de code via l’interface Dynamic Redfish Extension (6.7/10 CVSS 3.0 base score)
En combinant ces vulnérabilités, un attaquant distant disposant d’un accès réseau à l’interface de gestion BMC et dépourvu d’informations d’identification BMC peut obtenir l’exécution de code à distance sur des serveurs exécutant un micrologiciel vulnérable.
Ceci est accompli en incitant le BMC à percevoir la requête HTTP comme provenant de l’interface interne. Par conséquent, l’attaquant peut télécharger et exécuter du code arbitraire à distance, potentiellement même depuis Internet, si l’interface est exposée en ligne.
L’impact inclut le briquetage du serveur et des boucles de redémarrage infinies
« L’impact de l’exploitation de ces vulnérabilités comprend le contrôle à distance des serveurs compromis, le déploiement à distance de logiciels malveillants, de rançongiciels et de micrologiciels implantant ou bloquant des composants de carte mère (BMC ou potentiellement BIOS/UEFI), des dommages physiques potentiels aux serveurs (surtension/blocage de micrologiciels) et des boucles de redémarrage indéfinies qu’une organisation victime ne peut pas interrompre », a déclaré Eclypsium.
« Nous devons également souligner qu’un tel implant peut être extrêmement difficile à détecter et qu’il est extrêmement facile à recréer pour tout attaquant sous la forme d’un exploit en une seule ligne. »
En décembre 2022 et janvier 2023, Eclypsium a révélé cinq autres vulnérabilités MegaRAC BMC (CVE-2022-40259, CVE-2022-40242, CVE-2022-2827, CVE-2022-26872 et CVE-2022-40258) qui pourraient être exploitées pour détourner, briquer ou infecter à distance des serveurs compromis avec des logiciels malveillants. .
De plus, les deux vulnérabilités du micrologiciel MegaRAC BMC divulguées aujourd’hui peuvent être enchaînées avec celles mentionnées ci-dessus.
Plus précisément, CVE-2022-40258, qui implique des hachages de mot de passe faibles pour Redfish & API, pourrait aider les attaquants à déchiffrer les mots de passe administrateur pour les comptes administrateur sur la puce BMC, rendant l’attaque encore plus simple.
« Nous n’avons vu aucune preuve que ces vulnérabilités ou nos vulnérabilités BMC&C précédemment divulguées soient exploitées dans la nature », a déclaré Eclypsium.
« Cependant, parce que les acteurs de la menace ont accès aux mêmes données sources, le risque que ces vulnérabilités soient militarisées est considérablement augmenté. »