Il y a deux ans, des escrocs de rançongiciels ont piraté le fabricant de matériel Gigabyte et ont vidé plus de 112 gigaoctets de données contenant des informations provenant de certains de ses partenaires les plus importants de la chaîne d’approvisionnement, notamment Intel et AMD. Maintenant, les chercheurs avertissent que les informations divulguées ont révélé ce qui pourrait équivaloir à des vulnérabilités critiques du jour zéro qui pourraient mettre en péril de vastes pans du monde informatique.
Les vulnérabilités résident dans le micrologiciel que l’AMI basé à Duluth, en Géorgie, fabrique pour les BMC (contrôleurs de gestion de la carte de base). Ces minuscules ordinateurs soudés à la carte mère des serveurs permettent aux centres de cloud, et parfois à leurs clients, de rationaliser la gestion à distance de vastes flottes d’ordinateurs. Ils permettent aux administrateurs de réinstaller à distance les systèmes d’exploitation, d’installer et de désinstaller des applications et de contrôler à peu près tous les autres aspects du système, même lorsqu’il est éteint. Les contrôleurs BMC fournissent ce que l’on appelle dans l’industrie une gestion de système « sans interruption ».
Lumières éteintes pour toujours
Des chercheurs de la société de sécurité Eclypsium ont analysé le micrologiciel AMI divulgué lors de l’attaque de ransomware de 2021 et identifié des vulnérabilités qui se cachaient depuis des années. Ils peuvent être exploités par tout attaquant local ou distant ayant accès à une interface de gestion à distance standard connue sous le nom de Redfish pour exécuter un code malveillant qui s’exécutera sur chaque serveur à l’intérieur d’un centre de données.
Jusqu’à ce que les vulnérabilités soient corrigées à l’aide d’une mise à jour AMI publiée jeudi, elles offrent aux pirates malveillants, qu’ils soient motivés financièrement ou parrainés par l’État, un moyen d’obtenir le statut de superutilisateur dans certains des environnements cloud les plus sensibles au monde. À partir de là, les attaquants pourraient installer des logiciels de rançon et d’espionnage qui s’exécutent à certains des niveaux les plus bas à l’intérieur des machines infectées. Les attaquants réussis pourraient également causer des dommages physiques aux serveurs ou des boucles de redémarrage indéfinies qu’une organisation victime ne peut pas interrompre. Eclypsium a averti que de tels événements pourraient conduire à des scénarios de “lumière éteinte pour toujours”.
Dans un article publié jeudi, les chercheurs d’Eclypsium ont écrit :
La gravité de ces vulnérabilités varie de élevée à critique, y compris l’exécution de code à distance non authentifiée et l’accès non autorisé aux appareils avec des autorisations de superutilisateur. Ils peuvent être exploités par des attaquants distants ayant accès aux interfaces de gestion à distance Redfish, ou à partir d’un système d’exploitation hôte compromis. Redfish est le successeur de l’IPMI traditionnel et fournit une norme API pour la gestion de l’infrastructure d’un serveur et d’autres infrastructures prenant en charge les centres de données modernes. Redfish est pris en charge par pratiquement tous les principaux fournisseurs de serveurs et d’infrastructures, ainsi que par le projet de micrologiciel OpenBMC souvent utilisé dans les environnements hyperscale modernes.
Ces vulnérabilités représentent un risque majeur pour la chaîne d’approvisionnement technologique qui sous-tend le cloud computing. En bref, les vulnérabilités d’un fournisseur de composants affectent de nombreux fournisseurs de matériel, qui à leur tour peuvent être transmises à de nombreux services cloud. En tant que telles, ces vulnérabilités peuvent présenter un risque pour les serveurs et le matériel qu’une organisation possède directement ainsi que pour le matériel qui prend en charge les services cloud qu’elle utilise. Ils peuvent également avoir un impact sur les fournisseurs en amont des organisations et doivent être discutés avec des tiers clés dans le cadre de la diligence raisonnable générale en matière de gestion des risques de la chaîne d’approvisionnement.
Les contrôleurs BMC sont conçus pour fournir aux administrateurs un contrôle quasi total et à distance sur les serveurs qu’ils gèrent. AMI est l’un des principaux fournisseurs de BMC et de micrologiciels BMC pour un large éventail de fournisseurs de matériel et de fournisseurs de services cloud. Par conséquent, ces vulnérabilités affectent un très grand nombre d’appareils et pourraient permettre aux attaquants de prendre le contrôle ou d’endommager non seulement les appareils, mais également les centres de données et l’infrastructure de services cloud. Les mêmes failles logiques peuvent affecter les appareils dans les centres de données de secours dans différentes régions géographiques faisant partie du même fournisseur de services, et peuvent remettre en question les hypothèses que les fournisseurs de cloud (et leurs clients) font souvent dans le contexte de la gestion des risques et de la continuité des opérations.
Les chercheurs ont poursuivi en notant que s’ils pouvaient localiser les vulnérabilités et écrire des exploits après avoir analysé le code source accessible au public, rien n’empêche les acteurs malveillants de faire de même. Et même sans accès au code source, les vulnérabilités pourraient toujours être identifiées en décompilant les images du firmware BMC. Rien n’indique que des parties malveillantes l’ont fait, mais il n’y a pas non plus de moyen de savoir qu’elles ne l’ont pas fait.
Publicité
Les chercheurs ont informé AMI en privé des vulnérabilités, et la société a créé des correctifs de micrologiciel, qui sont disponibles pour les clients via une page d’assistance restreinte. AMI a également publié un avis ici.
Les vulnérabilités sont :
- CVE-2023-34329, un contournement d’authentification via des en-têtes HTTP qui a un indice de gravité de 9,9 sur 10, et
- CVE-2023-34330, Injection de code via Dynamic Redfish Extension. Son indice de gravité est de 8,2.
