Une nouvelle vulnérabilité de gravité critique trouvée dans le logiciel MegaRAC Baseboard Management Controller (BMC) d’American Megatrends International peut permettre à des attaquants de détourner et potentiellement de briquer des serveurs vulnérables.
Megarac BMC fournit des fonctionnalités de gestion du système à distance » hors bande « et » hors bande » qui aident les administrateurs à dépanner les serveurs comme s’ils étaient physiquement devant les appareils. Le micrologiciel est utilisé par plus d’une douzaine de fournisseurs de serveurs qui fournissent des équipements à de nombreux fournisseurs de services cloud et de centres de données, notamment HPE, Asus, ASRock et d’autres.
Les attaquants distants non authentifiés peuvent exploiter cette faille de sécurité de gravité maximale (identifiée comme CVE-2024-54085) dans des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
« Un attaquant local ou distant peut exploiter la vulnérabilité en accédant aux interfaces de gestion à distance (Sébaste) ou à l’hôte interne de l’interface BMC (Sébaste) », a expliqué Eclypsium dans un rapport publié mardi.
« L’exploitation de cette vulnérabilité permet à un attaquant de contrôler à distance le serveur compromis, de déployer à distance des logiciels malveillants, des ransomwares, des altérations du micrologiciel, des composants de la carte mère (BMC ou potentiellement BIOS/UEFI), des dommages physiques potentiels au serveur (surtension / brique) et des boucles de redémarrage indéfinies qu’une victime ne peut pas arrêter. »
Les chercheurs en sécurité d’Eclypsium ont découvert le contournement d’authentification CVE-2024-54085 lors de l’analyse des correctifs émis par AMI pour CVE-2023-34329, un autre contournement d’authentification divulgué par la société de cybersécurité en juillet 2023.
Alors qu’Eclypsium a confirmé que HPE Cray XD670, Asus RS720A-E11-RS24U et ASRockRack sont vulnérables aux attaques CVE-2024-54085 s’ils ne sont pas corrigés, il a également ajouté qu ‘ « il y aura probablement plus d’appareils et/ou de fournisseurs affectés. »
En utilisant Shodan, les chercheurs en sécurité ont découvert plus de 1 000 serveurs en ligne potentiellement exposés aux attaques Internet.
Dans le cadre de leurs recherches sur les vulnérabilités MegaRAC (collectivement suivies sous le nom de BMC&C), les analystes d’Eclypsium ont révélé cinq autres failles en décembre 2022 et janvier 2023 (CVE-2022-40259, CVE-2022-40242, CVE-2022-2827, CVE-2022-26872 et CVE-2022-40258) qui peuvent être exploitées pour détourner, brique ou à distance infecter les serveurs compromis avec des logiciels malveillants.
En juillet 2023, ils ont également découvert une vulnérabilité d’injection de code (CVE-2023-34330) qui peut être utilisée dans des attaques pour injecter du code malveillant via les interfaces de gestion à distance Redfish exposées à l’accès à distance et qui peuvent être chaînées avec les bogues précédemment découverts.
Plus précisément, CVE-2022-40258, qui implique des hachages de mots de passe faibles pour le sébaste et l’API, peut aider les attaquants à déchiffrer les mots de passe administrateur des comptes administrateur de la puce BMC, ce qui rend l’attaque encore plus simple.
Alors qu’Eclypsium a déclaré que la faille de contournement d’authentification CVE-2024-54085 n’a pas été utilisée dans les attaques et qu’aucun exploit n’a été trouvé dans la nature, il a également ajouté que la création d’un exploit n’est « pas difficile » étant donné que les binaires du micrologiciel ne sont pas cryptés.
Il est conseillé aux défenseurs du réseau d’appliquer les correctifs publiés il y a une semaine, le 11 mars, par AMI, Lenovo et HPE dès que possible, de ne pas exposer les instances AMI MegaRAC en ligne et de surveiller les journaux du serveur pour détecter toute activité suspecte.
« À notre connaissance, la vulnérabilité n’affecte que la pile logicielle BMC d’AMI. Cependant, AMI étant au sommet de la chaîne d’approvisionnement du BIOS, l’impact en aval affecte plus d’une douzaine de fabricants », a ajouté Eclypsium aujourd’hui.
« AMI a publié des correctifs pour les clients de ses fabricants informatiques OEM. Ces fournisseurs doivent intégrer les correctifs dans les mises à jour et publier des notifications à leurs clients. Notez que la correction de ces vulnérabilités est un exercice non trivial, nécessitant un temps d’arrêt de l’appareil. »