Au moins 47 000 serveurs vulnérables à des attaques à distance

Au moins 47 000 serveurs, dans 90 pays, équipés d’une carte mère Supermicro affectée par une vulnérabilité dans le firmware de leur sous-système d’administration – le BMC – sont exposés sur Internet.

Supermicro a publié un correctif après avoir été alerté par les chercheurs d’Eclypsium. La vulnérabilité peut permettre à un assaillant de se connecter à un serveur affecté et d’y monter virtuellement tout périphérique USB à distance. Baptisée USBAnywhere, la vulnérabilité est critique, car le BMC est conçu pour permettre une administration des machines sur un canal dédié, avec des privilèges particulièrement élevés.

C’est la manière dont le BMC des systèmes Supermicro X9, X10 et X11 implémente les périphériques de stockage USB virtuels qui est concernée : le service accepte l’authentification en clair (et celle-ci peut même être contournée), envoie la majorité du trafic en clair et utilise un algorithme de chiffrement peu robuste pour les données au repos.

Des assaillants pourraient exploiter ces faiblesses pour accéder à un serveur, en interceptant le paquet d’authentification d’un utilisateur légitime et en utilisant des identifiants par défaut voire, dans certains cas, sans aucun identifiant.

Une fois la connexion établie, le service de média virtuel permet à l’attaquant d’interagir avec le système hôte comme s’il s’agissait d’un périphérique USB connecté en local. De quoi, par exemple, charger une nouvelle image du système d’exploitation, téléverser un maliciel, ou même désactiver complètement le serveur.

La combinaison d’un « accès facile et de moyens d’attaque simples » peut permettre à des assaillants peu avancés d’attaquer certains des actifs informationnels les plus précieux d’une organisation, avertissent les chercheurs, en précisant au passage qu’un BMC n’a aucune raison d’être exposé directement sur Internet.

Le message n’est pas nouveau ; d’aucuns auraient pu espérer qu’il était passé après l’épisode de compromission par ransomware de serveurs HP dont l’interface iLO 4 était exposée sur Internet. Pour autant, selon le moteur de recherche spécialisé Shodan, il faut compter sur au moins 95 000 BMC facilement découvrables sur Internet. Ils seraient plus de 1 500 avec une adresse IP française.

Les chercheurs d’Eclypsium n’en sont pas à leur première découverte de vulnérabilités dans les sous-systèmes d’administration de serveurs. L’an dernier, ils en évoquaient déjà pour les cartes mères Supermicro, sur fond d’assertions de « Big Hack » par Bloomberg BusinessWeek. Et c’était loin d’être une première. Des mécanismes comparables que l’on trouve chez Intel, avec IME, ou HPE, avec iLO, ont également été affectés par des vulnérabilités. En 2013, HD Moore, chez Rapid7, publiait un guide d’attaque des BMC à l’intention des experts en tests d’intrusion. À la même époque, le Cert-US lançait une alerte sur le sujet.

USBAnywhere souligne l’importance de surveiller et de sécuriser les serveurs au-delà du système d’exploitation et des applications qu’ils exécutent, souligne ainsi Eclypsium, notant que les serveurs présentent une « surface d’attaque de firmware extrêmement large », dont les BMC ne constituent qu’un exemple.

Avec nos confrères de ComputerWeekly (groupe Techtarget)