Résumé

Contexte

Le 05 décembre 2022, trois vulnérabilités respectivement identifiées parles numéros CVE-2022-40259, CVE-2022-40242 et CVE-2022-2827 ont étésignalées dans la solution d’administration à distance MegaRAC del’éditeur AMI.

La solution MegaRAC s’appuie sur un BMC (Baseboard ManagementController) : un microcontrôleur intégré à la carte mère d’un serveur(ou installé comme carte fille) qui possède son propre stockage, sonpropre système d’exploitation et peut disposer d’un port réseau dédié oupartagé avec le système principal. Ce microcontrôleur est utilisé afinde fournir des capacités de gestion à distance en mode "hors bande" et"hors tension". Il permet aux administrateurs d’effectuer à distance uncertain nombre de tâches qui nécessiteraient autrement un accès physiqueau serveur. Le processeur BMC dispose en effet d’accès aux différentscomposants de la carte mère, ce qui lui permet de surveiller lematériel, mettre à jour le micrologiciel du BIOS, mettre l'hôte soustension, et permettre un déport clavier-écran-souris via le réseau.Souvent, il est connecté au bus PCIe et bénéficie d’un accès direct plusou moins large à la mémoire en lecture et écriture (DMA, Direct MemoryAccess).

Ce contrôleur peut être accédé par différentes interfaces :

• IPMI (Intelligent Platform Management Interface) : il s’agit d’unensemble de spécifications d’interface permettant d’accéder auxfonctions du BMC via le réseau IP ;
• Redfish, successeur de IPMI, proposant une interface RESTful pour lagestion des serveurs, du stockage et des réseaux. Redfish est prisen charge par les principaux fournisseurs de serveurs etd'infrastructures, ainsi que par le projet de micrologiciel OpenBMC;
• des protocoles réseau tels que SSH.

De nombreux constructeurs de carte mère intègrent la solution AMIMegaRAC dans leurs modèles pour serveurs.

Description

Ces trois vulnérabilités, d'une gravité moyenne à critique permettentune exécution de code à distance et un accès non autorisé à despériphériques requérant normalement des privilèges administrateur.

La première vulnérabilité, désignée par l’identifiant CVE-2022-40242,concerne l’existence d’un compte administrateur disposant d’un mot depasse par défaut.

La seconde vulnérabilité, CVE-2022-2827, permet d’énumérer les comptesconfigurés au niveau du BMC.

Enfin, la troisième vulnérabilité, CVE-2022-40259, offre la possibilitéà un attaquant distant de tirer parti d’une mauvaise gestion desparamètres fournis dans l’URL pour exploiter un appel dansl’implémentation de l’API Redfish (IPMI). Cette vulnérabilité de typeexécution de code arbitraire à distance requiert un niveau de privilègeminimal de type « callback » ou supérieur.

L’attaquant pourra ainsi tirer parti des deux premières vulnérabilitéspour obtenir un compte permettant d’exploiter la troisième.

La plupart des serveurs ont une configuration d’usine avec lesinterfaces IPMI ou Redfish activées et accessibles via un port réseaudédié ou via l’interface réseau principale de la carte mère, qui estalors partagée de manière transparente avec le système d’exploitation.Cette interface du BMC et son adressage sont généralement invisibles dusystème d’exploitation et des outils d’inventaire installés. Parailleurs, l’une des fonctions du BMC est de pouvoir arrêter ou démarrerun serveur à distance, il reste donc alimenté et accessible via lesinterfaces IPMI, Redfish ou SSH même lorsque le serveur est éteint. Enl’absence de procédure spécifique de configuration à la mise en serviced’un serveur (spécifiquement pour ne pas exposer cette interfaceailleurs que sur un réseau dédié à la gestion hors bande), il est trèsprobable que les interfaces d’accès au BMC soient exposées parinadvertance.

Pour l’heure, rien n’indique que ces vulnérabilités aient pu fairel’objet d’attaques ciblées. Pour autant, ces vulnérabilités présententun risque majeur car la solution MegaRAC est intégrée par de nombreuxconstructeurs de serveurs. La complexité de la chaîned’approvisionnement ralentit le déploiement des correctifs, augmentantsignificativement l’exposition des serveurs utilisant cette solution àdes attaques.

Chaînées ensemble, ces vulnérabilités permettent de prendre le contrôleà distance des serveurs, le vol de secrets critiques (par exempleempreintes et mots de passe en mémoire d’un contrôleur de domaine), ledéploiement à distance de logiciels malveillants (par exemple desrançongiciels ou des implants de micrologiciel) y compris sur desmachines virtuelles hébergées sur le serveur physique vulnérable. Dufait de son ancrage au niveau matériel, l’installation d’un implant ausein de l’IPMI constituerait une porte dérobée de premier choix, carcelui-ci serait persistant à une réinstallation du système hôte voire àun changement de disque dur du serveur.

Recommandations

* Il convient de noter que cela ne désactive pas le fonctionnement ducontrôleur BMC mais réduit son exposition depuis le réseau