AMI Megarac Baseband Management Controller Vulnerabilité permet aux attaquants de contourner l’authentification.
Les chercheurs ont trouvé une vulnérabilité critique dans le contrôleur de gestion de bande de base AMI Megarac (BMC) utilisé par plusieurs fabricants de serveurs. La vulnérabilité pourrait permettre aux attaquants de contourner l’authentification et de prendre le contrôle du serveur vulnérable via l’interface de gestion du poisson rouge.
«L’exploitation de cette vulnérabilité permet à un attaquant de contrôler à distance le serveur compromis, de déployer à distance des logiciels malveillants, de ransomwares, de falsification du micrologiciel, de dommages physiques potentiels (dommages physiques (BMC ou de bricking potentiellement BIOS / UEFI) et de redémarrage de la société de la société de la Société du Firmware.
C’est le 8ème Vulnérabilité que les chercheurs d’Eclypsium ont trouvé dans Megarac, la mise en œuvre du micrologiciel BMC de l’UEFI / BIOS Vendor American MegaTrends (AMI). Les BMC sont des microcontrôleurs présents sur les cartes mères du serveur qui ont leur propre firmware, la mémoire dédiée, l’alimentation et les ports réseau et sont utilisés pour la gestion hors bande des serveurs lorsque leurs principaux systèmes d’exploitation sont fermés.
Les administrateurs peuvent accéder à la RMC à distance via l’interface de gestion de la plate-forme intelligente (IPMI) ou le sébaste, une API RESTful standardisée, pour effectuer des tâches de maintenance et de diagnostic, notamment la réinstallation des systèmes d’exploitation, le redémarrage des serveurs, le déploiement de mises à jour du firmware et plus encore.
Flaw découvert lors de l’analyse du patch précédent
Les chercheurs d’Eclypsium ont trébuché sur la nouvelle vulnérabilité, désormais suivi sous le nom de CVE-2024-54085, tout en analysant le correctif d’AMI pour un problème de contournement d’authentification similaire qu’ils ont signalé en 2023, suivi comme CVE-2023-34329. Les deux vulnérabilités sont situées dans la mise en œuvre de l’API du sébaste et peuvent être exploitées en modifiant les en-têtes de demande HTTP.
Le nouveau numéro affecte les versions de Megarac SP-X aussi ancien que 2024-08-27 et les chercheurs l’ont confirmé sur plusieurs versions de HPE Cray XD670, un serveur pour une formation de modèle de langue grande et un traitement du langage naturel, ASUS RS720A-E11-RS24U serveurs et un serveur de stockage flash non spécifié à partir d’Asrockrack. Megarac SP-X est utilisé par de nombreux fabricants de serveurs et des produits de plus d’une douzaine de fournisseurs sont probablement affectés.
La vulnérabilité est située dans le script de support de l’hôte-interface.LUA de l’interface du sébaste, en particulier dans la façon dont les valeurs d’en-tête «X-Server-ADDR» et «HOT» sont validées à l’intérieur des demandes. Le serveur Web LightTPD ajoutera toujours une valeur X-Server-ADDR avec l’adresse IP de l’instance de sébaste, mais une vérification de chaîne est effectuée sur cette valeur dans le code en utilisant une expression régulière qui extrait tout avant le premier ‘:’ Caractère. La valeur extraite est ensuite comparée aux valeurs de la base de données telles que les adresses IP.
Les chercheurs ont réalisé que s’ils ajoutent 169.254.0.17: Au début de cette valeur d’en-tête dans la demande, l’adresse IP 169.254.0.17 sera extraite et comme elle est présente dans la base de données de la séance rouge, l’authentification sera ignorée. Dans certaines configurations non défaut, des adresses IP supplémentaires peuvent être présentes dans la base de données, par exemple 192.168.31.2, et celles-ci pourraient également être utilisées comme valeurs pour contourner l’authentification.
Dans un exploit de preuve de concept contre HPE Cray XD670 version 1.17, les chercheurs ont utilisé le contournement de l’authentification pour accéder à l’API de création de compte rouge et créer un nouvel utilisateur avec les privilèges administrateurs. Cet utilisateur aurait alors accès à toutes les fonctionnalités BMC à distance.
Les risques pour les BMC sont sérieux et négligés
Les chercheurs ont utilisé le moteur de recherche Shodan et ont trouvé plus de 1 000 instances de sébaste Megarac SP-X exposées à Internet qui pourraient être potentiellement vulnérables. Cependant, cette vulnérabilité peut également être exploitée par le biais de réseaux locaux sans le sébaste exposé à Internet.
En raison de la position privilégiée que BMC a sur le système d’exploitation de l’hôte, les attaquants pourraient exploiter ces défauts pour déployer des rootkits et des implants malveillants très persistants pour un cyberespionnage à long terme, en réinfectant le système d’exploitation même après avoir été complètement essuyé et restauré. Les BMC fournissent même aux administrateurs la possibilité d’envoyer à distance des événements de clavier au système d’exploitation comme s’ils étaient physiquement sur la machine et ces actions seraient impossibles à bloquer par des solutions de protection des points de terminaison.
Les BMC pourraient également être exploités dans des scénarios de type ransomware avec des serveurs perturbés d’une manière très difficile à récupérer.
«Dans les attaques perturbatrices ou destructrices, les attaquants peuvent tirer parti des environnements souvent hétérogènes dans les centres de données pour potentiellement envoyer des commandes malveillantes à tous les autres BMC sur le même segment de gestion, forçant tous les appareils à redémarrer en permanence d’une manière que les opérateurs de victimes ne peuvent pas s’arrêter», ont déclaré les chercheurs de l’Eclypsium. «Dans les scénarios extrêmes, l’impact net pourrait être indéfini, des temps d’arrêt irrécouvrables jusqu’à ce que les appareils soient révisés.»
Les vulnérabilités et erronés de BMC, y compris les références codées en dur, sont intéressantes pour les attaquants depuis plus d’une décennie. En 2022, les chercheurs en sécurité ont trouvé un implant malveillant surnommé ilobleed qui a probablement été développé par un groupe APT et a été déployé par le biais de vulnérabilités dans le BMC HPE ILO (HPE intégré-Lights-Out). En 2018, un groupe de ransomwares appelé JungleSec a utilisé des informations d’identification par défaut pour les interfaces IPMI pour compromettre les serveurs Linux. Et en 2016, la fonctionnalité de la technologie de gestion active (AMT) d’Intel (AMT) (SOL) qui fait partie du moteur de gestion d’Intel (Intel ME), a été exploitée par un groupe APT en tant que canal de communication secrète pour transférer des fichiers.
OEM, fabricants de serveurs en contrôle de l’atténuation
AMI a publié un avis et des correctifs à ses partenaires OEM, mais les utilisateurs affectés doivent attendre que leurs fabricants de serveurs les intégrent et publient des mises à jour du micrologiciel. En plus de cette vulnérabilité, AMI a également corrigé un défaut suivi sous le nom de CVE-2024-54084 qui peut conduire à une exécution de code arbitraire dans son implémentation APTIOV UEFI. HPE et Lenovo ont déjà publié des mises à jour pour leurs produits qui intègrent le correctif d’AMI pour CVE-2024-54085.
L’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) et la National Security Agency (NSA) ont précédemment publié des conseils sur le durcissement des interfaces BMC.
Eclypsium conseille aux entreprises de ne jamais exposer le sébaste, l’IPMI ou les sous-systèmes BMC directement via Internet. Les BMC ne doivent être accessibles que via des segments de réseau dédiés à la gestion et à l’accès administratif devraient en outre être limités via des pare-feu et des listes de contrôle d’accès.
De nouveaux équipements doivent toujours faire mis à jour son micrologiciel avant utilisation et être inspecté pour les vulnérabilités connues et les implants potentiels de la chaîne d’approvisionnement. Le firmware doit être tenu à jour sur une base continue, ce qui pourrait nécessiter des temps d’arrêt et des redémarrages prévus. Les journaux du micrologiciel BMC doivent également être surveillés pour un comportement inattendu et une nouvelle création de compte.
