De nombreux serveurs exposent au public leurs interfaces d’administration

Dan Farmer n’est un inconnu du monde la sécurité. Il s’intéresse notamment à la sécurité des serveurs et, plus particulièrement, de leurs interfaces d’administration. En préambule de la page de son site Web consacrée au sujet (http://www.fish2.com/ipmi/), il rappelle entendre régulièrement que « tout ce qu’il faut pour sécuriser [ces interfaces], c’est s’assurer que leurs interfaces réseau sont sur leur propre réseau (ou tout du moins pas sur Internet ni sur le réseau local des serveurs) et de faire attention aux accès et à ce mot de passe critique. » Mais selon Farmer, cela ne suffit pas : « je vous assure que ce n’est tout simplement pas vrai. Vous risquez de sérieux problèmes même lorsque le serveur abritant le contrôleur d’administration (BMC) est compromis. »

Et pour étayer son propos, le chercheur assure qu’un scan mondial - réalisé en partenariat avec Rapid7 en mai dernier - portant sur le protocole des interfaces d’administration IPMI a permis d’identifier plus de 230 000 BMC exposés sur Internet. Et jusqu’à « 90 % d’entre eux pourraient être compromis par simplement quelques vulnérabilités de configuration et de protocole. » Mais le risque réel serait encore bien plus considérable, « car l’accès à un BMC permet à un attaquant de compromettre son hôte ainsi que les autres BMC du groupe administratif puisqu’ils partagent le même mot de passe. »

Et Dan Farmer n’hésite pas à mettre à l’index les constructeurs de serveurs : « pendant plus d’une décennie, les principaux constructeurs de serveurs ont fragilisé leurs clients en livrant des serveurs qui sont vulnérables par défaut, avec un protocole d’administration non sûr par construction, et avec peu de documentation - sinon aucune - pour indiquer comment améliorer la situation. » De fait, le protocole IPMI a été développé par Intel, Dell, et HP, notamment, pour aider à administrer les serveurs, en tout indépendance de leur système d’exploitation. Aujourd’hui, pour Farmer, la menace est d’autant plus grande que le passage au Cloud conduit à faire sortir les serveurs d’infrastructures fermées et d’environnements de production étroitement cloisonnés.

Certes, il reconnaît que 230 000 est un chiffre relativement faible, rapporté à la puissance de calcul déployée, « mais il reste aussi important comme indicateur qu’un canari d’une mine de charbon. » Et les chiffres qu’il avance sont préoccupants. Ainsi, 46,8 % des serveurs BMC concernés fonctionnent avec IMPI 1.5, configuré, dans 90 % des cas, pour accepter une ouverture de session sans authentification. Mais le protocole en lui-même, dans cette version, « est vulnérable à une pléthore d’attaques réseau. » La version 2.0 du protocole apporte des améliorations. Mais entre 72 et 92 % des BMC identifiés et utilisant cette version seraient également vulnérables. Bref, une majorité des BMC exposés en ligne semble aujourd’hui menacée : une découverte que le chercheur qualifie « d’un peu déprimante. »