Vulnérabilités du micrologiciel IPMI de Supermicro divulguées
Un certain nombre de failles de sécurité ont récemment été découvertes dans les contrôleurs de gestion des cartes de base (BMC) de Supermicro. Ces failles sont les suivantes vulnérabilités du micrologiciel IPMI de Supermicro dans l'interface de gestion de la plate-forme intelligente (IPMI) présentent de graves dangers, notamment l'escalade des privilèges et l'exécution de codes malveillants. l'exécution de codes malveillants sur les systèmes affectés. Dans ce blog, nous allons examiner les spécificités de ces vulnérabilités, leurs répercussions et les mesures prises pour y remédier.
Comprendre les vulnérabilités du micrologiciel IPMI de Supermicro
Avant d'aborder les failles de sécurité du micrologiciel IPMI de Supermicrode Supermicro, il est important de comprendre les composants concernés. Les BMC, ou contrôleurs de gestion de carte mère, sont des processeurs spécialisés intégrés aux cartes mères des serveurs. Leur objectif principal est de faciliter les tâches de gestion à distance, en permettant aux administrateurs système de surveiller les mesures matérielles, d'ajuster la vitesse des ventilateurs et de mettre à jour le microprogramme du système, même lorsque le système d'exploitation hôte est hors ligne.
Divulgation de la vulnérabilité du micrologiciel IPMI
Vulnérabilités des serveurs SupermicroLes vulnérabilités des serveurs Supermicro, numérotées de CVE-2023-40284 à CVE-2023-40290, ont des niveaux de gravité allant de "élevé" à "critique". Binarly, un expert en cybersécurité, les a classées comme suit :
- CVE-2023-40284, CVE-2023-40287, et CVE-2023-40288 (scores CVSS : 9.6) : Ces trois vulnérabilités sont classées comme des failles de type cross-site scripting (XSS). Elles permettent à des attaquants distants non authentifiés d'exécuter du code JavaScript arbitraire en tant qu'utilisateur BMC connecté.
- CVE-2023-40285 et CVE-2023-40286 (score CVSS : 8.6) : Ces deux vulnérabilités sont également des failles XSS, mais elles permettent aux attaquants d'exécuter du code JavaScript arbitraire en manipulant les cookies du navigateur ou le stockage local, toujours dans le contexte d'un utilisateur BMC connecté.
- CVE-2023-40289 (score CVSS : 9.1) : Cette vulnérabilité représente une faille d'injection de commande du système d'exploitation. Elle permet l'exécution de code malveillant par un utilisateur disposant d'un accès administratif, ce qui la rend particulièrement dangereuse.
- CVE-2023-40290 (score CVSS : 8.3) : Cette vulnérabilité XSS permet à des attaquants distants non authentifiés d'exécuter du code JavaScript arbitraire, mais elle est plus efficace lors de l'utilisation d'Internet Explorer 11 sur un navigateur Windows.
CVE-2023-40289 est considérée comme "critique" parmi ces vulnérabilités car elle permet à des attaquants authentifiés d'obtenir un accès root et de compromettre entièrement le système BMC. Ce privilège accru permet aux attaquants de persister, même après le redémarrage du composant BMC, et de se déplacer latéralement au sein de l'infrastructure compromise, en infectant de nouveaux points d'extrémité.
Scénarios d'exploitation
Comprendre les exploits à distance dans les microprogrammes IPMI est la première étape pour concevoir des mesures d'atténuation efficaces contre les menaces potentielles. Les vulnérabilités, en particulier CVE-2023-40284, CVE-2023-40287 et CVE-2023-40288, peuvent être exploitées pour établir un compte avec des capacités administratives pour le composant serveur web du logiciel BMC IPMI.
Dans un scénario hypothétique, un attaquant distant pourrait utiliser ces failles en conjonction avec la CVE-2023-40289 pour exécuter du code. Cela pourrait prendre la forme d'un courriel d'hameçonnage envoyé au compte de messagerie d'un administrateur et contenant un lien malveillant. En cliquant sur cette URL, une charge utile XSS serait exécutée, compromettant potentiellement le système.
Il convient de noter qu'aucune preuve d'exploitation malveillante de ces vulnérabilités n'a encore été apportée sur le terrain. Cependant, en date du octobre 2023Binarly avait enregistré plus de 70 000 cas d'interfaces web Supermicro IPMI exposées à l'internet.
La voie de l'exploitation
Binarly a proposé un itinéraire possible pour les attaquants. Dans un premier temps, ils pourraient pénétrer à distance dans le système BMC en exploitant les faiblesses du composant du serveur Web, qui était accessible via l'internet. Ensuite, l'attaquant pourrait obtenir l'accès au système d'exploitation du serveur par le biais d'une véritable fonctionnalité BMC de contrôle à distance iKVM ou en insérant un micrologiciel malveillant dans l'UEFI de la machine cible. Cela lui donnerait un contrôle permanent sur le système d'exploitation hôte, ce qui lui permettrait de se déplacer latéralement dans le réseau interne et de compromettre d'autres appareils.
Conclusion
Enfin, la révélation de ces risques de cybersécurité dans les systèmes Supermicro met en évidence la nécessité permanente de de mesures de cybersécurité rigoureuses. Supermicro a réagi rapidement en publiant une mise à jour du micrologiciel pour résoudre ces problèmes. Toutefois, les organisations doivent examiner et corriger leurs systèmes de manière proactive afin d'éviter toute exploitation possible.
Lorsqu'il s'agit de protéger vos systèmes Supermicro, la mise en œuvre de mesures d'atténuation des vulnérabilités IPMI de Supermicro est essentielle. mesures d'atténuation des vulnérabilités IPMI de Supermicro est primordiale. Les solutions de correctifs peuvent vous aider à réduire les temps d'arrêt, à garantir la conformité et à assurer le bon fonctionnement de votre entreprise. Bien qu'il n'y ait actuellement aucune preuve d'activité hostile, il est essentiel d'être vigilant et de prendre les mesures nécessaires pour protéger les infrastructures critiques.
Les sources de cet article comprennent des articles dans The Hacker News et Security Week.