Les nouvelles vulnérabilités de la chaîne d’approvisionnement de BMC constituent une menace pour les serveurs et l’écosystème du cloud computing
Les chercheurs ont révélé trois vulnérabilités de sécurité différentes dans le logiciel American Megatrends Inc. (AMI) MegaRAC baseboard Management Controller (BMC), soulignant un risque pour les chaînes d’approvisionnement technologiques et les principales marques de matériel informatique qui sous-tendent le cloud computing.
Eclypsium, une société de sécurité des micrologiciels et du matériel, a signalé que les vulnérabilités identifiées, classées en gravité de moyenne à critique, peuvent entraîner l’exécution de code à distance et l’accès non autorisé à l’appareil avec l’autorisation du superutilisateur. Des pirates malveillants peuvent les exploiter en accédant à des interfaces de gestion à distance (IPMI), telles que Redfish, pour prendre le contrôle des systèmes et endommager l’infrastructure cloud.
En bref, les vulnérabilités d’un fournisseur de composants affectent de nombreux fournisseurs de matériel, qui à leur tour peuvent se répercuter sur de nombreux services cloud, a déclaré Vladislav Babkin, chercheur en sécurité chez Eclypsium dans un rapport. En tant que telles, ces vulnérabilités peuvent présenter un risque pour les serveurs et le matériel qu’une organisation possède directement ainsi que pour le matériel qui prend en charge les services cloud qu’elle utilise.
La liste des fabricants de serveurs connus pour utiliser MegaRackBMC est longue et comprend de grandes marques comme AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, NVidia, Qualcomm, Quanta et Tyan. Les chercheurs d’Eclypsium ont déclaré qu’ils pensaient qu’il existe probablement d’autres marques non découvertes qui sont tout aussi vulnérables.
Les BMC sont des processeurs de service spécialisés conçus pour contrôler les paramètres matériels et surveiller les systèmes hôtes à distance, même lorsque les machines sont éteintes. En raison de ces capacités, les BMC sont devenus une cible fructueuse pour les acteurs de la menace qui cherchent à implanter des logiciels malveillants hautement persistants qui peuvent survivre à la réinstallation des systèmes d’exploitation et à un effacement complet du disque dur.
Quant à AMI MegaRAC BMC, Babkin a noté qu’il s’agit de l’une des menaces courantes qui connectent la plupart des matériels sous-jacents au cloud. Ainsi, si un BMC vulnérable est utilisé dans un environnement de centre de données, il est fort probable qu’il affecte des centaines ou des milliers d’appareils, a ajouté Babkin.
La plus grave parmi les vulnérabilités est CVE-2022-40259 (score CVSS : 9,9), une exécution de code arbitraire via l’API Redfish qui demande à l’attaquant d’avoir déjà un niveau d’accès minimum sur l’appareil.
CVE-2022-40242 (score CVSS : 8,3) a une connexion avec un hachage dans /etc/shadow pour l’utilisateur sysadmin, et Eclypsium a réussi à le casser, tandis que CVE-2022-2827 (score CVSS : 7,5) permet aux attaquants de tester pour la présence de comptes d’utilisateurs en parcourant une liste de noms de compte possibles.
Les problèmes de la chaîne d’approvisionnement des micrologiciels sont devenus de plus en plus compliqués à mesure que les pirates se concentrent sur les systèmes d’exploitation orientés utilisateur vers le code intégré de niveau inférieur qui prend en charge le matériel.
Alors que la compromission d’un système d’exploitation de serveur peut être résolue avec un effacement et une réinstallation, la compromission du micrologiciel a le potentiel de rester au-delà de la réinstallation et de mesures encore plus drastiques comme le remplacement du disque dur. La recherche en sécurité dans ce domaine est impérative pour garder une longueur d’avance sur les attaques et protéger la base sur laquelle repose l’informatique moderne, a déclaré Babkin dans le rapport.