CISA a ajouté CVE-2024-54085 à sa liste de vulnérabilités exploitée connue alors que les entreprises luttent contre des correctifs de fournisseurs incomplets.
Un contournement d’authentification critique par vulnérabilité d’usurpation dans le micrologiciel de gestion de serveur AMI Megarac SPX est maintenant activement exploité par les attaquants, créant une pression urgente pour les entreprises qui attendent toujours des correctifs de fournisseurs complets dans leur infrastructure.
L’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) a ajouté le CVE-2024-54085 du CVE-2024-54085 à son catalogue de vulnérabilités exploité connu le 25 juin, signalant une escalade dangereuse du risque théorique aux attaques confirmées. La vulnérabilité affecte le micrologiciel Ami Megarac SPX, le logiciel en coulisses qui permet aux équipes de contrôler à distance les serveurs même lorsqu’ils sont éteints.
Le développement place les équipes informatiques de l’entreprise dans une position difficile: alors qu’AMI a publié des correctifs le 11 mars, les fabricants de serveurs ont été lents à intégrer et à distribuer des correctifs, laissant de nombreuses organisations vulnérables à un défaut de sévérité maximal qui accorde aux attaquants un contrôle complet sur les systèmes affectés.
Ce qui rend la vulnérabilité Megarac dangereuse
Le CVE-2024-54085 a un score de gravité parfait de 10,0 sur 10, reflétant son potentiel d’impact dévastateur. Le défaut est un contournement d’authentification par vulnérabilité d’usurpation affectant le firmware AMI Megarac SPX, permettant aux attaquants de tromper l’interface de gestion du poisson-rouge en croyant qu’ils sont des utilisateurs autorisés.
« L’exploitation de cette vulnérabilité permet à un attaquant de contrôler à distance le serveur compromis, de déployer à distance des logiciels malveillants, de ransomwares, de falsification du firmware, de composants de la carte mère de bricking », a indiqué un rapport de recherche Eclypsium en mars. Le rapport a ajouté que les attaques pourraient provoquer «des boucles de redémarrage indéfinies qu’une victime ne peut pas arrêter».
La vulnérabilité cible les contrôleurs de gestion des plinthes (BMC), des puces informatiques spécialisées intégrées sur des cartes mères de serveur qui fournissent des capacités de gestion à distance. Considérez les BMC comme un mini-ordinateur distinct à l’intérieur de votre serveur qui reste en cours d’exécution même lorsque le serveur principal est arrêté, permettant aux équipes de résoudre les problèmes, d’installer des mises à jour et de redémarrer les systèmes à distance.
L’attaque d’usurpation fonctionne en manipulant les en-têtes de demande HTTP envoyés à l’interface du sébaste. Les attaquants peuvent ajouter des valeurs spécifiques aux en-têtes comme «X-Server-ADDR» pour faire apparaître leurs demandes externes comme si elles venaient de l’intérieur du serveur lui-même. Étant donné que le système fait automatiquement confiance aux demandes internes comme authentifiées, cette technique d’usurpation accorde des privilèges d’administrateur des attaquants sans avoir besoin d’identification valides.
La réponse lente du fournisseur crée une fenêtre de risque
La vulnérabilité illustre les défis complexes de sécurité de l’entreprise posés par les chaînes d’approvisionnement du micrologiciel. AMI se trouve en haut de la chaîne d’approvisionnement du serveur, mais chaque fournisseur doit intégrer des correctifs dans ses propres produits avant que les clients puissent les déployer.
Lenovo a pris jusqu’au 17 avril pour sortir son patch, tandis que les patchs Asus pour quatre modèles de carte mère n’étaient apparus que ces dernières semaines. Hewlett Packard Enterprise a été parmi les répondants plus rapides, publiant des mises à jour en mars pour ses systèmes Cray XD670 utilisés dans l’IA et les charges de travail informatiques hautes performances.
Les retards de correction sont particulièrement concernant la portée de la vulnérabilité. Les fabricants connus pour utiliser le BMC Megarac SPX d’AMI comprennent AMD, Ampère Computing, Asrock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro et Qualcomm, représentant une partie importante de l’infrastructure de serveurs d’entreprise. NetApp a également confirmé dans son conseil en sécurité NTAP-20250328-0003 que plusieurs produits NetApp incorporant le firmware Megarac BMC sont également affectés, élargissant l’impact sur l’infrastructure de stockage.
Dell avait précédemment confirmé que ses systèmes n’étaient pas affectés car il utilise sa propre technologie de gestion IDRAC au lieu du Megarac d’Ami.
Opérations d’entreprise à risque
Cet impact généralisé sur le fournisseur se traduit par de sérieux risques opérationnels pour les entreprises. Les BMC fonctionnent à un niveau privilégié en dessous du système d’exploitation principal, ce qui rend les attaques particulièrement dangereuses.
«En raison de la position privilégiée que BMC a sur le système d’exploitation hôte, les attaquants pourraient exploiter ces défauts pour déployer des rootkits et des implants de logiciels malveillants très persistants pour un cyberespionnage à long terme», ont expliqué les chercheurs en sécurité. Ces programmes malveillants pourraient «réinfecter le système d’exploitation même après avoir été complètement essuyé et restauré».
Selon le rapport Eclypsium, dans les scénarios d’attaque destructeurs, «les attaquants peuvent tirer parti des environnements souvent hétérogènes dans les centres de données pour envoyer potentiellement des commandes malveillantes à tous les autres BMC sur le même segment de gestion, forçant tous les appareils à redémarrer continuellement.» Le rapport a averti que «dans les scénarios extrêmes, l’impact net pourrait être indéfini, des temps d’arrêt irrécouvrables jusqu’à ce que les dispositifs soient révisés.»
Cette capacité rend la vulnérabilité attrayante à la fois pour les opérateurs de ransomwares et les acteurs de l’État-nation qui cherchent à perturber les infrastructures critiques.
Modèle de problèmes persistants
Le CVE-2024-54085 fait partie d’une série en cours de problèmes de sécurité que les chercheurs d’Eclypsium ont découverts sur la plate-forme Megarac d’Ami. Les chercheurs ont noté qu’ils avaient trouvé ce dernier défaut tout en examinant le correctif d’AMI pour une vulnérabilité de contournement d’authentification précédente rapportée en 2023.
Le modèle de vulnérabilités récurrentes dans la même plate-forme de micrologiciel soulève des questions sur le cycle de vie du développement de la sécurité pour les composants d’infrastructure critiques. Pour les équipes de sécurité d’entreprise, cette tendance suggère que les systèmes basés sur AMI Megarac SPX peuvent nécessiter des évaluations de sécurité plus fréquentes et une surveillance plus étroite que d’autres plates-formes de gestion de serveur.
Les chercheurs en sécurité utilisant le moteur de recherche Shodan ont trouvé plus de 1 000 instances Megarac exposées à Internet qui pourraient être potentiellement vulnérables. Cependant, la vulnérabilité peut également être exploitée via des réseaux locaux, ce qui rend la segmentation interne des réseaux essentiels.
Avec l’exploitation active confirmée, les équipes de sécurité des entreprises sont confrontées à des décisions urgentes concernant l’atténuation des risques. La complexité des correctifs du micrologiciel signifie que les mises à jour nécessitent généralement des utilitaires logiciels spécialisés et des temps d’arrêt du système, contrairement aux correctifs logiciels conventionnels.
L’avis de la CISA oblige les agences fédérales à remédier à la vulnérabilité dans les délais prescrits, sous la directive opérationnelle contraignante 22-01. Bien que les organisations du secteur privé ne soient pas légalement liées par ces exigences, la désignation du catalogue KEV sert de signal clair que cette vulnérabilité pose des menaces immédiates et réelles qui exigent une attention urgente.
