Déjà à l'origine de la découverte de vulnérabilités dans les firmwares des systèmes Supermicro, la start-up Eclypsium, refait parler d'elle. La société spécialisée dans la protection des infrastructures réseaux et matériels (serveurs et postes de travail) vient en effet de publier un rapport pointant du doigt les failles de sécurité auxquelles les serveurs bare-metal sont confrontés. « Les serveurs sont provisionnés et récupérés au fil du temps et passent naturellement d'un client à l'autre. Des vulnérabilités dans le firmware d’un périphérique et des faiblesses dans le processus de récupération ouvrent la porte au transfert de code malveillant et de rootkits de firmware d’un client à l’autre », explique Supermicro.
Les serveurs bare-metal se retrouvent notamment dans les datacenters externalisés opérés par des fournisseurs cloud. Il s'agit de serveurs physiques mono-client (serveurs dédiés) et reposant sur une instance machine unique et single-tenant. « Bien que les offres bare-metal puissent présenter des avantages considérables, elles introduisent également de nouveaux risques et défis », prévient Eclypsium. « Cela signifie que même si le matériel est dédié à un seul client à un moment donné, ils pourraient facilement utiliser pour de la seconde ou troisième main ». A l'instar des vulnérabilités découvertes dans les firmwares des cartes-mères Supermicro - dépourvues de puces espionnes d'après un audit externe commandité par le fabricant américano-taiwanais - les systèmes bare-metal présenteraient des trous de sécurité identiques selon Eclypsium.
Un scénario d'attaque basé sur une instance serveur bare-metal dans le cloud SoftLayer d'IBM
Pour étayer ses propos, la start-up a choisi de se concentrer sur un scénario d'attaque exploitant la vulnérabilité qu'elle a surnommée Cloudborne, visant une instance bare-metal du cloud SoftLayer d'IBM. « Notre objectif était d'obtenir l'accès à un périphérique, d'effectuer une petite modification, de le restituer à IBM pour une réclamation, puis de réacquérir le même périphérique à partir d'un compte utilisateur différent pour voir si Cloudborne avait survécu au processus de récupération », explique Eclypsium. Après avoir provisionné une instance et repéré plusieurs caractéristiques (version du firmware, numéros de série produit et châssis récupérés via ipmitool...) permettant d'identifier le serveur bare-metal sur lequel cette dernière repose, la start-up a modifié un commentaire de texte dans l'image du firmware.
« Nous avons également créé un utilisateur IPMI supplémentaire et lui avons attribué un accès administratif aux canaux du contrôleur BMC. Le système a ensuite été communiqué à IBM, ce qui a lancé le processus de récupération », poursuit Eclypsium. « Nous avons constaté que l'utilisateur IPMI supplémentaire avait été supprimé pendant le processus de récupération. Cependant, le firmware du contrôleur BMC contenant le commentaire modifié était toujours présent, indiquant qu'il n’avait pas été reflashé pendant le processus de récupération du serveur. L'utilisation combinée de matériel vulnérable et de la non flashage du firmware permet d'implanter un code malveillant dans le firmware BMC du serveur, infliger des dommages ou dérober des données aux clients IBM qui utiliseront ce serveur à l'avenir ».
Privilégier les systèmes aux firmwares à jour pouvant être reflashés
Afin de se prémunir de ce type d'exploitation de vulnérabilité, Eclypsium propose aux entreprises clients quelques conseils comme tester les systèmes des fournisseurs aux vulnérabilités firmware, valider le fait que les serveurs sont exempts de malwares et de backdoors, s'assurer que les systèmes mis à disposition embarquent des firmwares à jour qu'il est possible de reflasher afin de s'assurer qu'ils puissent faire tourner une image valide. « Pendant que les serveurs sont en production, les organisations devraient régulièrement vérifier de la présence de dernières vulnérabilités de firmware aussi bien que des modifications inattendues pouvant découler d'une intrusion dans le système », prévient la start-up.
D'autres recommandations ont aussi été faites à destination cette fois des fournisseurs cloud : à l'occasion de réclamations, procéder à une analyse de firmware pour détecter les changements intentionnels ou non, voire privilégier une analyse en continue. Reflasher un firmware après la réclamation d'un client incluant une mise à jour UEFI via BMC. Mais aussi s'assurer qu'aucune donnée, mot de passe, et log ne puissent passer de client en client, vérifier les vulnérabilités et appliquer les mises à jour de firmware et l'intégrité de matériels physiques ajoutés au fil de l'eau aux infrastructures cloud.