Trois failles de sécurité différentes ont été révélées dans le logiciel American Megatrends (AMI) MegaRAC Baseboard Management Controller (BMC) qui pourraient conduire à l’exécution de code à distance sur des serveurs vulnérables.
« L’impact de l’exploitation de ces vulnérabilités comprend le contrôle à distance des serveurs compromis, le déploiement à distance de logiciels malveillants, de ransomwares et d’implantations de micrologiciels, et les dommages physiques au serveur (bricking) », a déclaré la société de sécurité des micrologiciels et du matériel Eclypsium dans un rapport partagé avec breachtrace.
Les BMC sont des systèmes indépendants privilégiés au sein des serveurs qui sont utilisés pour contrôler les paramètres matériels de bas niveau et gérer le système d’exploitation hôte, même dans les scénarios où la machine est éteinte.
Ces capacités font des BMC une cible attrayante pour les acteurs de la menace qui cherchent à implanter des logiciels malveillants persistants sur des appareils qui peuvent survivre aux réinstallations du système d’exploitation et aux remplacements de disque dur.
Collectivement appelés BMC&C, les problèmes nouvellement identifiés peuvent être exploités par des attaquants ayant accès à des interfaces de gestion à distance (IPMI) telles que Redfish, permettant potentiellement à des adversaires de prendre le contrôle des systèmes et de mettre les infrastructures cloud en danger.
Le plus grave parmi les problèmes est CVE-2022-40259 (score CVSS : 9,9), un cas d’exécution de code arbitraire via l’API Redfish qui nécessite que l’attaquant ait déjà un niveau d’accès minimum sur l’appareil (privilèges de rappel ou plus) .
CVE-2022-40242 (score CVSS : 8,3) concerne un hachage pour un utilisateur sysadmin qui peut être piraté et abusé pour obtenir un accès administratif au shell, tandis que CVE-2022-2827 (score CVSS : 7,5) est un bogue dans la réinitialisation du mot de passe. fonctionnalité qui peut être exploitée pour déterminer si un compte avec un nom d’utilisateur spécifique existe.
« [CVE-2022-2827] permet d’identifier les utilisateurs préexistants et ne mène pas à un shell, mais fournirait à un attaquant une liste de cibles pour les attaques par force brute ou de bourrage d’informations d’identification », ont expliqué les chercheurs.
Les résultats soulignent une fois de plus l’importance de sécuriser la chaîne d’approvisionnement des micrologiciels et de s’assurer que les systèmes BMC ne sont pas directement exposés à Internet.
« Comme les centres de données ont tendance à se standardiser sur des plates-formes matérielles spécifiques, toute vulnérabilité au niveau du BMC s’appliquerait très probablement à un grand nombre d’appareils et pourrait potentiellement affecter un centre de données entier et les services qu’il fournit », a déclaré la société.
Les découvertes surviennent alors que Binarly a révélé plusieurs vulnérabilités à fort impact dans les appareils basés sur AMI qui pourraient entraîner une corruption de la mémoire et l’exécution de code arbitraire au cours des premières phases de démarrage (c’est-à-dire un environnement pré-EFI).
Plus tôt en mai, Eclypsium a également découvert ce qu’on appelle une faille BMC « Pantsdown » affectant les serveurs Quanta Cloud Technology (QCT), dont l’exploitation réussie pourrait donner aux attaquants un contrôle total sur les appareils.