Les vulnérabilités trouvées dans les appareils KVM à faible coût peuvent donner aux attaquants l’équivalent d’un accès physique à tout ce à quoi ils se connectent.
Les chercheurs ont découvert neuf vulnérabilités dans quatre appareils KVM sur IP populaires à faible coût, allant de l’injection de commandes non authentifiées à de faibles défenses d’authentification et à des mises à jour de micrologiciels non sécurisées. Ces failles sont particulièrement préoccupantes compte tenu de la présence croissante de tels appareils dans les environnements professionnels, qu’ils soient déployés intentionnellement par les administrateurs informatiques et les fournisseurs de services gérés ou introduits en tant que shadow IT.
Les appareils KVM sur IP permettent aux utilisateurs de contrôler les ordinateurs à distance comme s’ils étaient physiquement présents, avec un accès complet au clavier, à la vidéo et à la souris, y compris au niveau du BIOS lorsque le système d’exploitation n’est pas en cours d’exécution. Les entreprises s’appuient depuis longtemps sur des commutateurs KVM multiports montés en rack qui incluent des fonctionnalités de sécurité telles que l’authentification multifacteur, le cryptage et la journalisation, mais coûtent des centaines, voire des milliers de dollars.
Ces derniers temps, les petites entreprises et les équipes informatiques fonctionnant avec des budgets serrés se sont de plus en plus tournées vers une nouvelle classe de périphériques KVM compacts, basés sur Linux, à port unique, offrant le même accès à une fraction du coût. Cependant, la qualité de leur micrologiciel et de leurs contrôles d’accès n’est pas aussi bonne.
Les chercheurs de la société de sécurité Eclypsium ont analysé plusieurs de ces modèles bon marché au cours des derniers mois et ont constaté un manque de protection contre la force brute pour l’authentification, des mécanismes de mise à jour du micrologiciel non sécurisés, des interfaces de débogage exposées et des vulnérabilités non authentifiées pouvant conduire à une prise de contrôle complète de l’appareil.
Le nombre de ces appareils exposés directement à Internet est passé de quelques centaines il y a moins d’un an à plus de 1 600, selon Eclypsium. Ce chiffre peut ne pas sembler énorme, mais les utilisateurs de ces appareils vont des petites boutiques informatiques et MSP aux entreprises couvrant de nombreux secteurs verticaux.
« Les centres de données d’entreprise et les installations de colocation utilisent des IP-KVM pour la gestion des serveurs à distance », ont déclaré les chercheurs d’Eclypsium. « Les environnements industriels et OT les déploient pour gérer les machines IHM dans les zones dangereuses. Les établissements de santé les utilisent pour les systèmes des suites d’imagerie et des laboratoires de recherche qui ne peuvent pas être facilement redémarrés. Les installations gouvernementales et de défense s’appuient sur eux pour les serveurs critiques où l’accès physique nécessite des escortes et des approbations. »
Oublis de base
Les neuf vulnérabilités affectent les appareils de GL-iNet, Angeet/Yeeso, Sipeed et JetKVM.
La faille la plus grave, avec un CVSS 9.8, a été trouvée dans le KVM Angeet/Yeeso ES3 et permet à tout attaquant ayant accès au réseau d’écrire des fichiers arbitraires sur l’appareil via un point de terminaison de téléchargement non protégé. Enchaîné avec une faille d’injection de commandes distincte, il crée les prémisses de l’exécution de code à distance de pré-authentification avec les privilèges root. Angeet s’est engagé à corriger les failles mais n’a pas fourni de calendrier à Eclypsium.
Le GL-iNet Comet RM-1 présente quatre vulnérabilités, notamment un manque de protection par force brute pour l’authentification et une connexion non sécurisée lors du provisionnement. L’appareil utilise également la fonction de hachage MD5 facile à déchiffrer pour son mécanisme de mise à jour du micrologiciel et aucune signature cryptographique. En conséquence, les attaquants pourraient potentiellement créer des images de firmware détournées que l’appareil accepterait.
Par ailleurs, l’interface série UART de l’appareil fournit un accès root non authentifié à toute personne ayant un accès physique à l’appareil. GL-iNet a publié des correctifs partiels dans une version bêta, mais n’a prévu aucun correctif pour la signature du micrologiciel ou l’authentification UART.
JetKVM, l’un des appareils les plus populaires dans le segment KVM à faible coût, utilisait également un mécanisme de mise à jour par liaison radio (OTA) qui reposait sur des hachages SHA-256 sans signatures cryptographiques et sans protection contre la force brute sur sa connexion par mot de passe unique. Les deux failles ont été corrigées.
Le NanoKVM de Sipeed disposait d’un point de terminaison de configuration WiFi non authentifié qui pouvait être exploité pour détourner la connexion réseau de l’appareil. La faille est désormais corrigée.
« Il ne s’agit pas de zéros jours exotiques nécessitant des mois d’ingénierie inverse », ont déclaré les chercheurs d’Eclypsium. « Il s’agit de contrôles de sécurité fondamentaux que tout appareil en réseau devrait mettre en œuvre : validation des entrées, authentification, vérification cryptographique, limitation du débit. Nous examinons la même classe de pannes qui ont frappé les premiers appareils IoT il y a dix ans, mais maintenant sur une classe d’appareils qui fournit l’équivalent d’un accès physique à tout ce à quoi il se connecte. «
Portes dérobées furtives
Un périphérique KVM compromis peut devenir une puissante porte dérobée dans n’importe quel environnement. Un attaquant peut injecter des frappes au clavier pour exécuter des commandes ou accéder aux paramètres UEFI pour désactiver les fonctionnalités de sécurité telles que le cryptage du disque et le démarrage sécurisé.
Étant donné que l’appareil fonctionne en dehors du système d’exploitation du système contrôlé, les outils de détection des points finaux et les pare-feu hôtes ne peuvent pas le voir. Ces appareils exécutent leur propre micrologiciel basé sur Linux, permettant aux attaquants de masquer les logiciels malveillants et de réinfecter les systèmes connectés même après l’effacement du disque.
« La compromission d’un périphérique KVM donne à un attaquant l’équivalent d’un accès physique à chaque machine qui y est connectée », préviennent les chercheurs d’Eclypsium. « Pas un peu comme un accès physique. Contrôle réel du clavier, de la vidéo et de la souris, au niveau du BIOS, sous le système d’exploitation, sous EDR, sous chaque contrôle de sécurité que vous avez déployé. »
Des espions nord-coréens se faisant passer pour des travailleurs à distance ont utilisé des appareils PiKVM connectés aux ordinateurs portables et aux postes de travail fournis par les employeurs pour simuler leur présence physique dans différents pays et accéder aux réseaux d’entreprise.
Les commutateurs KVM de niveau entreprise ne sont pas non plus à l’abri des vulnérabilités. ATEN, l’un des principaux fournisseurs, a corrigé l’année dernière des vulnérabilités critiques de débordement de tampon dans certains de ses produits. Les interfaces Baseband Management Controller (BMC), un autre type de technologie de gestion hors bande courante dans les produits serveur, sont en proie à des vulnérabilités depuis des années et certaines ont même été exploitées pour déployer des rootkits.
Eclypsium conseille aux organisations d’isoler les appareils KVM sur des VLAN de gestion dédiés, de ne jamais les exposer directement à Internet, de déployer une authentification à deux facteurs lorsqu’elle est disponible et d’utiliser des solutions VPN pour y accéder. Les entreprises doivent également auditer leurs réseaux pour détecter les appareils KVM dont elles pourraient ne pas avoir connaissance et déployer des mises à jour du micrologiciel lorsqu’elles sont disponibles.
« Auditez vos déploiements KVM », ont écrit les chercheurs. » Sachez ce que vous avez, où il se trouve et quel micrologiciel il exécute. Ces appareils sont les clés de votre royaume, et à l’heure actuelle, trop d’entre eux sont accrochés au réseau avec la porte grande ouverte. «
