Getty Images
En janvier 2019, un chercheur a révélé une vulnérabilité dévastatrice dans l’un des appareils les plus puissants et les plus sensibles intégrés aux serveurs et postes de travail modernes. Avec un indice de gravité de 9,8 sur 10, la vulnérabilité a affecté une large gamme de contrôleurs de gestion de plinthes fabriqués par plusieurs fabricants. Ces minuscules ordinateurs soudés à la carte mère des serveurs permettent aux centres de cloud, et parfois à leurs clients, de rationaliser la gestion à distance de vastes flottes d’ordinateurs. Ils permettent aux administrateurs de réinstaller à distance les systèmes d’exploitation, d’installer et de désinstaller des applications et de contrôler à peu près tous les autres aspects du système, même lorsqu’il est éteint.
Pantsdown, comme le chercheur a surnommé la menace, a permis à quiconque avait déjà accès au serveur une opportunité extraordinaire. En exploitant la faille de lecture/écriture arbitraire, le pirate pourrait devenir un super administrateur qui avait constamment le plus haut niveau de contrôle pour l’ensemble d’un centre de données.
L’industrie se mobilise… sauf un
Au cours des mois suivants, plusieurs fournisseurs BMC ont publié des correctifs et des avis expliquant aux clients pourquoi la correction de la vulnérabilité était essentielle.
Aujourd’hui, des chercheurs de la société de sécurité Eclypsium ont fait état d’une découverte inquiétante : pour des raisons qui restent sans réponse, un BMC largement utilisé du fournisseur de solutions de centres de données Quanta Cloud Technology, mieux connu sous le nom de QCT, n’a pas été corrigé contre la vulnérabilité le mois dernier.
Comme si l’inaction de QCT ne suffisait pas, la position actuelle de l’entreprise reste également déconcertante. Après qu’Eclypsium ait rapporté en privé ses découvertes à QCT, la société de solutions a répondu qu’elle avait finalement corrigé la vulnérabilité. Mais plutôt que de publier un avis et de rendre public un correctif – comme presque toutes les entreprises le font lorsqu’elles corrigent une vulnérabilité critique – elle a déclaré à Eclypsium qu’elle fournissait des mises à jour en privé, client par client. Alors que ce message était sur le point d’être mis en ligne, “CVE-2019-6260”, la désignation de l’industrie pour suivre la vulnérabilité, n’apparaissait pas sur le site Web de QCT.
Dans un e-mail, le vice-président de la technologie d’Eclypsium, John Loucaides, a écrit :
Eclypsium continue de constater que les serveurs personnalisés (par exemple, Quanta) restent non corrigés des vulnérabilités remontant à 2019. Cela affecte une myriade d’appareils d’un grand nombre de fournisseurs de cloud. Le problème n’est pas une vulnérabilité, c’est le système qui maintient les serveurs cloud anciens et vulnérables. Quanta vient tout juste de publier le correctif pour ces systèmes, et ils ne l’ont pas fourni pour vérification. En fait, ils nous ont répondu qu’il ne serait mis à disposition que sur demande pour l’assistance.
Plusieurs représentants de Quanta n’ont pas répondu à deux e-mails envoyés pendant des jours consécutifs demandant la confirmation du calendrier d’Eclypsium et une explication de son processus et de ses politiques de correction.
Publicité
Actuel, mais pas patché
Un article de blog Eclypsium publié jeudi montre le type d’attaque qu’il est possible d’effectuer sur les BMC QCT en utilisant le micrologiciel disponible sur la page de mise à jour de QCT le mois dernier, plus de trois ans après la découverte de Pantsdown.
La vidéo d’accompagnement d’Eclypsium montre un attaquant accédant au BMC après avoir exploité la vulnérabilité pour modifier son serveur Web. L’attaquant exécute ensuite un outil accessible au public qui utilise Pantsdown pour lire et écrire dans le micrologiciel BMC. L’outil permet à l’attaquant de fournir au BMC un code qui ouvre un shell Web inversé chaque fois qu’un administrateur légitime actualise une page Web ou se connecte au serveur. La prochaine fois que l’administrateur tentera de prendre l’une ou l’autre action, cela échouera avec une erreur de connexion.
Dans les coulisses, cependant, et à l’insu de l’administrateur, le shell inversé de l’attaquant s’ouvre. À partir de là, l’attaquant a le contrôle total du BMC et peut en faire tout ce qu’un administrateur légitime peut faire, y compris établir un accès continu ou même bloquer définitivement le serveur.
Démo d’attaque BMC
La puissance et la facilité d’utilisation de l’exploit Pantsdown ne sont en aucun cas nouvelles. Ce qui est nouveau, contrairement aux attentes, c’est que ces types d’attaques sont restés possibles sur les BMC qui utilisaient le firmware QCT fourni pas plus tard que le mois dernier.
La décision de QCT de ne pas publier une version corrigée de son micrologiciel ou même un avis, couplée au silence radio avec des journalistes posant des questions légitimes, devrait être un drapeau rouge. Les centres de données ou les clients de centres de données travaillant avec les BMC de cette société doivent vérifier l’intégrité de leur micrologiciel ou contacter l’équipe d’assistance de QCT pour plus d’informations.
Même lorsque les BMC proviennent d’autres fabricants, les centres de cloud et les clients des centres de cloud ne doivent pas supposer qu’ils sont corrigés contre Pantsdown.
“C’est un problème sérieux, et nous ne pensons pas qu’il s’agisse d’un événement unique”, a écrit Loucaides. “Nous avons vu des appareils actuellement déployés par chaque OEM qui restent vulnérables. La plupart d’entre eux ont des mises à jour qui n’ont tout simplement pas été installées. Les systèmes de Quanta et leur réponse les ont cependant distingués.”
