Dans les attaques par ransomware, il faut toujours être vigilant sur la portée des données dérobées et publiées. En 2021, le fournisseur GigaByte a été victime de deux groupes de rançongiciel (RansomEXX et Avos Locker) et plus de 112 Go de données ont été divulguées, incluant des informations sur certains de ses partenaires comme Intel ou AMD. Parmi ces données, des chercheurs de la société Eclypsium ont découvert des failles critiques.
Ces vulnérabilités se trouvent dans les firmwares créés par la société AMI (Americain Megatrends International) pour les contrôleurs MegaRAC BMC (baseboard management controller). Ces derniers sont des systèmes informatiques autonomes permettant la gestion et la maintenance à distance d'un serveur. Les administrateurs peuvent ainsi réinstaller à distance les systèmes d'exploitation, mettre en place ou supprimer des applications et contrôler à peu près tous les autres aspects du système, même lorsqu'il est éteint. Les BMC sont habituellement intégrés à la carte mère du serveur et connectés au réseau dédié de gestion par une interface indépendante physique ou logique.
Des mises à jour à appliquer rapidement
Dans leur analyse des fichiers divulgués, les experts ont donc trouvé des failles critiques (notamment les CVE-2023-34329 et CVE-2023-34330 avec un score de gravité de 10) cachées depuis des années. Elles peuvent être exploitées pour gagner le statut de super-utilisateur par tout attaquant en local ou distant ayant accès à une interface de gestion à distance standard connue sous le nom de Redfish. Cet outil est le successeur de l'IPMI (Intelligent Platform Management Interface) traditionnel et il est utilisé par les grands fournisseurs d’infrastructure IT (AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, HPE, Huawei, Ampere Computing, ASRock,…), ainsi que le projet OpenBMC.
La surface d’attaque est donc très importante et peut toucher des millions de serveurs sur site, mais également chez les fournisseurs de cloud. Les spécialistes d’Eclypsium évoque les différentes menaces, « le contrôle à distance des serveurs compromis, le déploiement à distance de malwares, de ransomwares et de firmware implantant ou modifiant des composants de la carte mère (BMC ou potentiellement BIOS/UEFI), des dommages physiques potentiels aux serveurs (surtension), et des boucles de redémarrage indéfinies ». Les experts parlent même d’attaques de type suppy chain. AMI a publié des patchs pour ces failles critiques et conseille aux entreprises concernées de mettre à jour les firmwares dans les plus brefs délais.
Comment peut on être assez naif pour exposer ces interfaces sur internet sans utiliser un vpn ?
Signaler un abus