Les chercheurs en sécurité ont découvert qu'au moins 47 000 serveurs Supermicro dans 90 pays possèdent des vulnérabilités non corrigées dans le micrologiciel de leurs contrôleurs de gestion de la carte mère (BMC), ce qui pourrait les exposer à des attaques à distance.
La société de sécurité Eclypsium a découvert les vulnérabilités et les a signalées à Supermicro. Depuis, la société a publié un correctif pour résoudre le problème. Cependant, si elles ne sont pas corrigées, les vulnérabilités pourraient être exploitées pour permettre à un attaquant de se connecter à un serveur et de monter virtuellement tout périphérique USB sur Internet.
L'attaque, appelée USBAnywhere, pourrait être perpétrée par des attaquants vulnérables sur un contrôleur BMC vulnérable après avoir eu accès à un réseau d'entreprise. Cela signifie que le nombre de serveurs vulnérables pourrait être beaucoup plus élevé que les 47 000 exposés à Internet.
Les BMC sont conçus pour permettre aux administrateurs de gérer un serveur hors bande. C'est pourquoi la vulnérabilité découverte par Eclypsium est si grave.
Sommaire
USBAnywhere
La vulnérabilité USBAnywhere s'explique par plusieurs problèmes liés à la mise en œuvre de supports virtuels sur les plates-formes X9, X10 et X11 de Supermicro, offrant aux administrateurs la possibilité de connecter à distance une image de disque sous forme de lecteur de disquette ou de CD-ROM USB virtuel. Les chercheurs d'Eclypsium ont découvert que, lorsqu'il est utilisé à distance, le service de média virtuel permet l'authentification en texte clair, envoie la plupart du trafic sans cryptage, utilise un algorithme de cryptage faible et est sujet au contournement de l'authentification.
Des pirates potentiels pourraient exploiter ces problèmes pour accéder à un serveur en capturant le paquet d'authentification d'un utilisateur légitime, en utilisant des informations d'identification par défaut ou sans aucune information d'identification dans certains cas. Une fois la connexion établie, le service de média virtuel permet à un attaquant d'interagir avec le système hôte comme s'il y avait directement connecté un périphérique USB. À partir de là, un attaquant pourrait charger une nouvelle image de système d'exploitation, utiliser un clavier et une souris pour modifier le serveur, implanter un logiciel malveillant ou même désactiver complètement le serveur.
Il est généralement recommandé aux entreprises d’isoler les contrôleurs BMC sur leur propre segment de réseau privé et sécurisé. Cependant, Eclypsium a constaté que de nombreuses organisations oublient ou choisissent d’ignorer cette étape et l’entreprise a utilisé un scan Shodan qui a révélé qu’au moins 92 000 BMC peuvent être facilement découverts sur Internet pour illustrer cela.
Pour éviter d'être victime d'une telle attaque, Eclypsium recommande à toutes les entreprises de mettre à jour leur BMC avec le dernier micrologiciel et d'éviter de les exposer directement à Internet, car de nouvelles vulnérabilités de BMC sont découvertes à un rythme rapide.
Via Computer Weekly
