Trois failles de sécurité différentes ont été révélées dans American Megatrends (AMI) MegaRAC Logiciel BMC (Baseboard Management Controller) pouvant entraîner l’exécution de code à distance sur des serveurs vulnérables.
« L’impact de l’exploitation de ces vulnérabilités comprend le contrôle à distance des serveurs compromis, le déploiement à distance de logiciels malveillants, de ransomwares et d’implantations de micrologiciels, ainsi que les dommages physiques au serveur (briquetage) », a déclaré la société de sécurité des micrologiciels et du matériel Eclypsium. a dit dans un rapport partagé avec The Hacker News.
Les BMC sont des systèmes indépendants privilégiés au sein des serveurs qui sont utilisés pour contrôler les paramètres matériels de bas niveau et gérer le système d’exploitation hôte, même dans les scénarios où la machine est éteinte.
Ces capacités font des BMC une cible attrayante pour les acteurs de la menace qui cherchent à implanter des logiciels malveillants persistants sur des appareils qui peuvent survivre aux réinstallations du système d’exploitation et aux remplacements de disque dur.
Appelés collectivement BMC&Cles problèmes nouvellement identifiés peuvent être exploités par des attaquants ayant accès à des interfaces de gestion à distance (IPMI) tel que Poisson rougepermettant potentiellement à des adversaires de prendre le contrôle des systèmes et de mettre les infrastructures cloud en danger.
Le plus grave parmi les problèmes est CVE-2022-40259 (score CVSS : 9,9), un cas d’exécution de code arbitraire via l’API Redfish qui nécessite que l’attaquant ait déjà un niveau d’accès minimum sur l’appareil (Privilèges de rappel ou plus).
CVE-2022-40242 (score CVSS : 8,3) concerne un hachage pour un utilisateur sysadmin qui peut être piraté et abusé pour obtenir un accès administratif au shell, tandis que CVE-2022-2827 (score CVSS : 7,5) est un bogue dans la réinitialisation du mot de passe. fonctionnalité qui peut être exploitée pour déterminer si un compte avec un nom d’utilisateur spécifique existe.
« [CVE-2022-2827] permet d’identifier les utilisateurs préexistants et ne mène pas à un shell, mais fournirait à un attaquant une liste de cibles pour les attaques par force brute ou de bourrage d’informations d’identification », ont expliqué les chercheurs.
Les résultats soulignent une fois de plus l’importance de sécuriser la chaîne d’approvisionnement des micrologiciels et de s’assurer que les systèmes BMC ne sont pas directement exposés à Internet.
« Comme les centres de données ont tendance à se standardiser sur des plates-formes matérielles spécifiques, toute vulnérabilité au niveau du BMC s’appliquerait très probablement à un grand nombre d’appareils et pourrait potentiellement affecter un centre de données entier et les services qu’il fournit », a déclaré la société.
Les résultats viennent comme Binarly divulgué plusieurs vulnérabilités à fort impact dans les appareils basés sur AMI qui pourraient entraîner une corruption de la mémoire et l’exécution de code arbitraire au cours des premières phases de démarrage (c’est-à-dire un environnement pré-EFI).
Plus tôt en mai, Eclypsium a également découvert ce qu’on appelle une faille BMC « Pantsdown » affectant les serveurs Quanta Cloud Technology (QCT), dont l’exploitation réussie pourrait donner aux attaquants un contrôle total sur les appareils.
