Serveur d'impression

Supermicro Bug pourrait laisser les "USB virtuels" prendre le contrôle des serveurs d'entreprise – Serveur d’impression

Le 4 octobre 2019 - 5 minutes de lecture

Beaucoup de problèmes peuvent survenir avec la sécurité du réseau d'entreprise, mais nous espérons au moins que les gens sachent qu'ils ne doivent pas brancher d'étranges clés USB sur les ordinateurs du réseau. Mais il s'avère qu'un attaquant pourrait exploiter les failles d'un type de périphérique de gestion à distance pour brancher toutes les clés "virtuelles" qu'ils souhaitent. Et le même type d'attaque peut transformer à peu près n'importe quel périphérique USB en un cheval de Troie virtuel.

Dans les nouvelles découvertes présentées mardi à la conférence Open Source Firmware, dans la Silicon Valley, des chercheurs de la société de sécurité Eclypsium détaillent les vulnérabilités de plusieurs contrôleurs de gestion de cartes mères Supermicro. Il s’agit de processeurs spéciaux installés sur les cartes mères des serveurs pour donner aux administrateurs système des pouvoirs de gestion au niveau du matériel à distance. Cela s'avère pratique lorsque les administrateurs doivent, par exemple, charger un ancien logiciel sur un serveur à partir d'un CD ou mettre à niveau un système d'exploitation à partir d'une image stockée sur un disque dur externe. Les BMC facilitent cela sans avoir à connecter physiquement quoi que ce soit au serveur lui-même. Le serveur va juste pense qu'un appareil est directement connecté.

Les chercheurs ont toutefois constaté que les BMC des plates-formes Supermicro X9, X10 et X11 contiennent des failles qui peuvent être exploitées pour personnaliser cette fonction légitime. Un attaquant pourrait potentiellement exfiltrer des données sur une clé USB ou un disque dur externe, remplacer le système d'exploitation d'un serveur par un système malveillant, voire même le rendre inutilisable. Les attaquants peuvent tirer parti de la vulnérabilité lorsqu'ils disposent déjà d'un accès au réseau de l'entreprise pour obtenir un contrôle plus approfondi en passant latéralement sur un contrôleur BMC. Mais ils peuvent également lancer ces attaques à distance si les entreprises laissent leur BMC accessible sur Internet, à l'instar des plus de 47 000 BMC exposés découverts par les chercheurs au cours d'un balayage récent.

"De nombreux modèles de sécurité supposent que la présence physique est un défi majeur. Cependant, dans notre cas, nous avons l’équivalent de la présence physique", explique Rick Altherr, ingénieur principal d’Eclypsium. "Les possibilités sont infinies avec cela. Et les BMC sont des appareils très, très courants."

Si un administrateur souhaite connecter virtuellement un périphérique USB à un serveur, il utilise une application Web de gestion à distance «média virtuel» à partir de son ordinateur portable ou de tout autre périphérique pour appeler essentiellement le contrôleur BMC et tirer parti de ses contrôles d'accès matériel. Les chercheurs d’Eclypsium ont toutefois constaté que les protections d’authentification des systèmes exécutant ces protocoles de supports virtuels sont vulnérables à de nombreux types d’attaques.

Le système peut par exemple stocker de manière incorrecte des identifiants de connexion légitimes, permettant ainsi à l’utilisateur suivant de saisir un nom d’utilisateur et un mot de passe et d’y accéder. Altherr a déclaré qu'il avait trouvé ce bogue très fiable lors des tests, mais que même si la fenêtre ouverte béante se fermait soudainement, un attaquant pouvait toujours essayer les informations d'identification Supermicro par défaut, qui n'ont souvent pas été modifiées. Et pour un attaquant déjà sur le réseau cherchant à accéder au contrôleur BMC, il existe une autre option pour obtenir les informations d'identification en interceptant le trafic entre l'application Web et le contrôleur BMC, car la connexion n'est protégée que par un cryptage relativement faible.

Les chercheurs ont révélé les failles à Supermicro en juin et la société a publié des mises à jour de microprogrammes pour tous les BMC concernés. Yuriy Bulygin, PDG d’Eclypsium, note cependant que, comme beaucoup de périphériques d’entreprise, les BMC mettent souvent beaucoup de temps à mettre à niveau les microprogrammes. En conséquence, les correctifs prendront probablement un certain temps pour atteindre les serveurs vulnérables.

"Nous tenons à remercier les chercheurs qui ont identifié la vulnérabilité de BMC Virtual Media", a déclaré un porte-parole de Supermicro dans un communiqué. "La meilleure pratique de l'industrie consiste à exploiter les BMC sur un réseau privé isolé non exposé à Internet, ce qui réduirait, mais n'éliminerait pas, l'exposition identifiée. Les nouvelles versions du logiciel BMC corrigent ces vulnérabilités."

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.