Portrait of Worried Professional Programmer Fixing a Bug, Dealing with Crashing System. Young Black Man Looking at Big Digital Screens Glitching While Displaying Code Lines, Thinking of Solutions

Alors que l’horloge coche, les vendeurs corrigent lentement la faille critique dans le micrologiciel Ami Megarac BMC

Lucas Morel

Les patchs de Lenovo sont maintenant apparus comme l’effort de l’industrie au ralenti pour résoudre les tonneaux du problème.

Quelques semaines après que le développeur de BIOS AMI a publié une mise à jour fixant une vulnérabilité critique dans son micrologiciel de gestion de bande de base Megarac (BMC) utilisé dans de nombreux serveurs et systèmes de stockage d’entreprise, les correctifs OEM abordant le problème se déroulent lentement.

Un BMC est une puce embarquée qui permet aux équipes de surveiller, de dépanner et de contrôler les serveurs à distance via l’interface standard du sébaste standard, même lorsqu’ils sont désactivés ou que le système d’exploitation ne répond pas. Cela rend les exploits particulièrement dangereux.

Un patch pour la dernière vulnérabilité, identifié comme CVE-2024-54085, a été publié par AMI le 11 mars. Cependant, son correctif n’était que le début de l’histoire; De nombreux OEM devaient encore traiter la mise à jour de leurs produits de serveur individuels.

Malheureusement, cela a pris du temps, augmentant le risque qu’un attaquant exploite le problème.

Qui est touché

Le dernier vendeur à publier des correctifs était Lenovo, qui semble avoir pris jusqu’au 17 avril pour publier son patch. Et bien que les correctifs ASUS pour quatre modèles de carte mère n’apparaissent que cette semaine, l’heure exacte à laquelle ceux-ci ont été affichés n’est pas confirmé; Les dates sur les mises à jour vont du 12 mars au 28 mars.

Parmi les premiers à publier un correctif figurait Hewlett Packard Enterprise (HPE), qui a publié le 20 mars une mise à jour pour son HPE Cray XD670, utilisé pour l’IA et les charges de travail informatiques à haute performance (HPC). Les autres OEM connus pour utiliser le BMC Megarac d’Ami comprennent AMD, Ampère Computing, Asrock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro et Qualcomm.

Dell, en revanche, a confirmé que ses systèmes ne sont pas affectés par le problème Megarac, car il utilise son propre contrôleur d’accès à distance (IDRAC) intégré dans ses serveurs.

Comment les attaquants pourraient-ils exploiter la faille?

Une semaine après la publication du patch par AMI en mars, Eclypsium, la société qui a découvert la vulnérabilité fin 2024, a publié plus de détails sur son fonctionnement interne:

« À notre connaissance, la vulnérabilité n’affecte que la pile de logiciels BMC d’AMI. Cependant, puisque AMI est au sommet de la chaîne d’approvisionnement du BIOS, l’impact en aval affecte plus d’une douzaine de fabricants », a écrit des chercheurs d’Eclypsium.

La faille, notée à la gravité maximale de 10, est désignée une faille «critique» sur les CVS. Il permettrait de contourner l’authentification via l’interface du sébaste, selon Eclypsium, avec une gamme de résultats, y compris la télécommande du serveur, le déploiement de logiciels malveillants / ransomwares, et des actions destructrices telles que des boucles de redémarrage non stopables et même des cartes mères en briques.

En bref, ce ne serait pas une bonne journée pour les victimes, bien qu’aucune exploitation de la vulnérabilité n’ait jusqu’à présent été détectée. Mais comme pour toute vulnérabilité logicielle, ce qui compte, c’est la vitesse et la facilité avec lesquelles il est corrigé.

Le premier numéro illustré par la réponse apparemment lente au CVE-2024-54085 est la complexité du processus de correction lorsque le logiciel impliqué fait partie d’une chaîne d’approvisionnement impliquant plus d’un fournisseur.

Pour compliquer les questions, tous les serveurs d’un fournisseur donné utilisent l’interface d’AMI, donc beaucoup d’équipes informatiques ont déjà plus d’un de ces produits à suivre. Par exemple, alors que les serveurs proliant traditionnels de HPE utilisent les lumières intégrées propriétaires de HPE (OIT), les produits dans ses autres lignes tels que Cray et Apollo utilisent Megarac.

Pas encore

Une deuxième inquiétude est le nombre de vulnérabilités qu’Eclypsium a découvert dans le BMC Megarac d’Ami ces derniers temps.

En plus de la vulnérabilité actuelle, celles-ci incluent, depuis la fin 2022, CVE-2022-40259, CVE-2022-40242, CVE-2022-2827, CVE-2022-26872 et CVE-2022-40258, CVE-2023-34329 et CVE-2023-34330.

Ironiquement, la société a découvert le dernier défaut lors de l’examen du correctif d’AMI pour l’un d’eux, CVE-2023-34329, un problème de contournement d’authentification tout aussi dangereux.

Atténuation

Les conseils d’atténuation d’Eclypsium dans son article de mars sur le défaut étaient que les organisations devraient s’assurer que les interfaces de gestion des serveurs ne sont pas exposées à l’extérieur, que le firmware est régulièrement mis à jour et surveillé pour des signes de compromis et que tous les nouveaux équipements soient corrigés et vérifiés pour les versions du micrologiciel et les implants de la chaîne de fournitures hors de l’entretien.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission