Support technique
Documentation
Connexion
Nous contacter
Les vulnérabilités de la chaîne d'approvisionnement mettent en danger l'écosystème des serveurs
23 décembre 2022 - L'équipe de relations publiques de TuxCare
Eclypsium Research a identifié et signalé trois vulnérabilités dans le logiciel MegaRAC Baseboard Management Controller (BMC) d'American Megatrends, Inc. (AMI).
Il est utilisé par AMD, Ampere, Asrock, Asus, Arm, Dell, Gigabyte, HPE, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta et Tyan et pourrait permettre l'exécution de code à distance sur des serveurs vulnérables.
"L'impact de l'exploitation de ces vulnérabilités comprend le contrôle à distance des serveurs compromis, le déploiement à distance de logiciels malveillants, de ransomwares et d'implants de micrologiciels, ainsi que des dommages physiques aux serveurs (bricking)", indique Eclypsium dans un billet de blog.
Les recherches d'Eclypsium sur l'AMI et le BMC ont abouti à la découverte de trois vulnérabilités, que la société désigne sous le nom de BMC&C. Ces failles peuvent être dangereuses tant pour les appareils personnels que pour les services de cloud computing et de centres de données.
La vulnérabilité la plus sérieuse est la CVE-2022-40259 (score CVSS:9.9), une exécution de code arbitraire via l'API Redfish qui nécessite que l'intrus ait un niveau d'accès minimum sur l'appareil. Alors que CVE-2022-40242(score CVSS:8.3) a un lien avec un hash dans /etc/shadow pour l'utilisateur sysadmin, et CVE-2022-2827 (CVSS 7.5) permet aux pirates de vérifier l'existence de profils d'utilisateurs en générant une liste aléatoire de noms de comptes possibles.
Les attaquants ayant accès aux interfaces de gestion à distance (IPMI) telles que Redfish peuvent exploiter les problèmes nouvellement découverts, permettant potentiellement aux adversaires de prendre le contrôle des systèmes et de mettre en péril les infrastructures en nuage.
Nate Warfield, directeur du renseignement et de la recherche sur les menaces chez Eclypsium, a déclaré que l'attaque est réalisée à l'aide d'outils de gestion de serveurs et que l'acteur de la menace n'a besoin que d'un accès à distance au serveur vulnérable.
"Les attaquants ont besoin d'un accès à distance au BMC. Les vulnérabilités sont triviales à exploiter, et seule une des trois nécessite un certain niveau de privilège", explique Warfield. "Les organisations disposant de grands parcs de serveurs, de centres de données et potentiellement de fournisseurs de cloud et d'hébergement sont particulièrement vulnérables à ce type d'exploit."
"Ces vulnérabilités pourraient être exploitées par un attaquant ayant obtenu un accès initial à un centre de données ou à un réseau administratif. Les centres de données ayant tendance à se standardiser sur des plates-formes matérielles spécifiques, toute vulnérabilité de niveau BMC s'appliquerait très probablement à un grand nombre de dispositifs et pourrait potentiellement affecter un centre de données entier et les services qu'il fournit", a déclaré Eclypsium.
Les sources de cette pièce incluent un article dans SCMedia.
