Une découverte alarmante de failles critiques dans les contrôleurs BMC d’AMI après un vol de données en 2021 met des millions de serveurs en entreprise et chez les fournisseurs de cloud en danger.
Les chercheurs ont mis en évidence des vulnérabilités dans les micrologiciels des contrôleurs BMC de la société AMI, utilisés par plusieurs fabricants de serveurs. Suite à un vol de données en 2021 chez le fournisseur GigaByte, qui a été ciblé par les rançongiciels RansomEXX et Avos Locker, des chercheurs de la société Eclypsium ont découvert ces failles critiques.
Ces vulnérabilités résident dans les firmwares conçus par AMI pour les contrôleurs MegaRAC BMC, des systèmes autonomes permettant la gestion et la maintenance à distance des serveurs. Les administrateurs peuvent ainsi contrôler et gérer les serveurs à distance, même lorsqu’ils sont éteints. Les contrôleurs BMC sont couramment intégrés à la carte mère du serveur et connectés à un réseau de gestion dédié via une interface physique ou logique.
Parmi les failles découvertes, les CVE-2023-34329 et CVE-2023-34330 sont particulièrement critiques, avec un score de gravité de 10. Ces vulnérabilités pourraient être exploitées par des attaquants locaux ou distants pour obtenir le statut de super-utilisateur en accédant à une interface de gestion à distance standard appelée Redfish. Redfish est le successeur de l’IPMI (Intelligent Platform Management Interface) traditionnel et il est utilisé par de nombreux grands fournisseurs d’infrastructures IT, ainsi que le projet OpenBMC.
Cette situation présente une vaste surface d’attaque qui affecte potentiellement des millions de serveurs sur site, mais également chez les fournisseurs de cloud. Les experts d’Eclypsium ont évoqué les risques encourus, tels que le contrôle à distance de serveurs compromis, le déploiement de malwares et de ransomwares, ainsi que la possibilité de modifier des composants de la carte mère, pouvant entraîner des dommages physiques aux serveurs ou des boucles de redémarrage indéfinies. Ils ont également averti que ces failles pourraient être exploitées dans des attaques de type « supply chain ».
AMI a réagi en publiant des correctifs pour ces failles critiques et exhorte les entreprises concernées à mettre à jour leurs firmwares dans les plus brefs délais pour renforcer leur sécurité