Crédit : Dreamstime
Avoir la possibilité de gérer et de suivre les serveurs depuis un autre emplacement même lorsque leur système d’exploitation principal ne répond plus est essentiel pour les administrateurs informatiques d’entreprise. Tous les producteurs de serveurs fournissent cette fonctionnalité dans le micrologiciel via un ensemble de puces qui fonctionnent indépendamment du reste du serveur et du système d’exploitation. Ceux-ci sont appelés contrôleurs de gestion de la carte de base (BMC) et s’ils ne sont pas protégés efficacement, ils peuvent déverrouiller des rootkits extrêmement implacables et difficiles à détecter.
Au fil des ans, les chercheurs en sécurité ont découvert et les vulnérabilités démontrées dans les implémentations BMC de différents fabricants de serveurs et ennemis ont bénéficié de quelques-unes d’entre elles. Un exemple récent est iLOBleed, un implant BMC destructeur découvert dans la nature par une société de cybersécurité iranienne qui cible les serveurs Hewlett Packard Enterprise (HPE) Gen8 et Gen9, mais ce n’est pas la seule attaque de ce type découverte depuis de nombreuses années.
Selon une analyse de la société de sécurité des micrologiciels Eclypsium, 7 799 serveurs BMC HPE iLO (Integrated Lights-Out) sont exposés au Web et la plupart ne semblent pas exécuter la dernière variante du micrologiciel. Lorsque d’autres vulnérabilités ont été découvertes dans l’exécution BMC des serveurs Supermicro en 2019, plus de 47 000 Supermicro BMC exposés publiquement de plus de 90 pays différents ont été exposés. Il est sûr de dire que parmi tous les fournisseurs de serveurs, la variété des interfaces utilisateur BMC qui peuvent être attaquées depuis le Web se compte par dizaines ou par milliers.
« Les vulnérabilités BMC sont également extrêmement courantes et souvent négligées en ce qui concerne les mises à jour », ont déclaré les scientifiques d’Eclypsium dans un tout nouveau billet de blog suite aux rapports iLOBleed. » Les vulnérabilités et les erreurs de configuration peuvent être introduites tôt dans la chaîne d’approvisionnement avant qu’une organisation ne prenne possession d’un serveur. Des problèmes de chaîne d’approvisionnement peuvent toujours exister même après le déploiement en raison de mises à jour vulnérables ou si des adversaires sont capables de compromettre le processus de mise à niveau d’un fournisseur. En fin de compte, cela crée une difficulté pour les entreprises dans lesquelles il existe de nombreux systèmes vulnérables, des impacts extrêmement élevés en cas d’attaque et des ennemis utilisant activement les appareils dans la nature. «
L’implant iLOBleed
La technologie iLO de HPE existe dans les serveurs HPE depuis plus de 15 ans. Il est implémenté sous la forme d’une puce ARM qui possède son propre contrôleur réseau dédié, sa RAM et son stockage flash. Son micrologiciel comprend un système d’exploitation dédié qui s’exécute séparément du système d’exploitation principal du serveur. Comme tous les BMC, HPE iLO est essentiellement un petit ordinateur créé pour gérer un système informatique plus important : le serveur lui-même.
Les administrateurs peuvent accéder à iLO via un panneau d’administration Web qui est desservi par le port réseau dédié du BMC. , ou au moyen d’outils qui communiquent avec le BMC via le protocole standardisé Intelligent Platform Management Interface (IPMI). Les administrateurs peuvent utiliser iLO pour allumer et éteindre le serveur, modifier différents paramètres matériels et micrologiciels, accéder à la console système, réinstaller le système d’exploitation principal en attachant une image CD/DVD à partir d’un autre emplacement, en gardant un œil sur la détection matérielle et logicielle. unités et même publier des mises à jour BIOS/UEFI.
L’implant iLOBleed est considéré comme le développement d’un groupe sophistiqué de danger constant (APT) et est utilisé depuis au moins 2020. On pense qu’il utilise des vulnérabilités reconnues telles que CVE-2018-7078 et CVE-2018-7113 pour injecter de nouveaux modules nuisibles dans le micrologiciel iLO qui ajoutent des performances d’effacement de disque.
Une fois installé, le rootkit bloque également les efforts de mise à jour du micrologiciel et rapporte que la nouvelle version a été installée efficacement pour tromper les administrateurs. Il existe des méthodes pour dire que le firmware n’a pas été mis à jour. Par exemple, l’écran de connexion dans la dernière version facilement disponible doit être légèrement différent. Si ce n’est pas le cas, cela implique que la mise à jour a été empêchée, même si le micrologiciel signale la version la plus récente.
Il convient également de garder à l’esprit qu’il est possible d’infecter le micrologiciel iLO si un agresseur obtient root ( administrateur) sur le système d’exploitation hôte étant donné que cela permet de flasher le micrologiciel. Si le microprogramme iLO du serveur ne présente aucune vulnérabilité reconnue, il est possible de rétrograder le microprogramme vers une variante vulnérable. Sur Gen10, il est possible d’empêcher les attaques de rétrogradation en activant un paramètre du micrologiciel, mais cela n’est pas activé par défaut et n’est pas possible sur les anciennes générations.
» Les attaquants peuvent abuser de ces capacités [BMC] dans une variété de façons », ont déclaré les chercheurs d’Eclypsium. » iLOBleed a en fait montré la capacité d’utiliser le BMC pour nettoyer les disques d’un serveur. L’ennemi pourrait tout aussi rapidement prendre des informations, installer des charges utiles supplémentaires, contrôler le serveur de n’importe quelle manière ou le désactiver complètement. Il est également essentiel de noter que la compromission des serveurs physiques peut mettre non seulement le travail, mais des nuages entiers en danger. «
Attaques BMC passées
En 2016, des scientifiques de Microsoft ont documenté les activités d’un groupe APT surnommé PLATINUM qui utilisait la technologie de gestion active (AMT) d’Intel -over-LAN (SOL) pour établir un canal de communication dissimulé pour déplacer des fichiers. AMT est un composant d’Intel Management Engine (Intel ME), une option de type BMC qui existe dans la plupart des processeurs de bureau et de serveur Intel. De nombreux programmes de pare-feu et réseau les outils de surveillance ne sont pas configurés pour vérifier le trafic AMT SOL ou IPMI en général, permettant à des adversaires comme PLATINUM d’éviter la détection.
En 2018, BleepingComputer a signalé des attaques contre des serveurs Linux avec un programme de ransomware appelé JungleSec qui, sur la base de rapports des victimes, a été libéré via des interfaces utilisateur IPMI non sécurisées utilisant des informations d’identification de producteur par défaut.
En 2020, un scientifique en sécurité a démontré comment il pouvait utiliser des interfaces BMC non sécurisées sur le cloud Openstack d’une organisation pour prendre le contrôle des serveurs virtualisés à travers vous t un engagement de test d’intrusion.
« iLOBleed fournit une étude de cas extrêmement claire non seulement sur l’importance de la sécurité des micrologiciels dans les BMC, mais pour la sécurité des micrologiciels en général », ont déclaré les scientifiques d’Eclypsium. » Aujourd’hui, de nombreuses organisations ont en fait adopté des concepts tels qu’absolument aucune confiance, qui définit la nécessité d’examiner et de vérifier séparément la sécurité de chaque propriété et action. Dans de nombreux cas, ces concepts n’ont pas fait leur chemin jusqu’au code le plus fondamental d’un «
Atténuation des attaques BMC
La pratique de sécurité de base pour les interfaces IPMI, qu’elles soient intégrées ou incluses au moyen de cartes de croissance, est de ne pas exposez-les directement à Internet ou même au réseau principal de l’entreprise. Les BMC doivent être positionnés dans leur propre segment de réseau isolé destiné à des fins de gestion. L’accès à cette section peut être limité en utilisant des VLAN, des logiciels de pare-feu, des VPN et d’autres technologies de sécurité comparables.
Les organisations doivent s’entretenir périodiquement avec les fabricants de leurs serveurs pour obtenir des mises à jour du micrologiciel BMC et, plus généralement, suivre les CVE découverts dans le firmware de toutes leurs possessions cruciales. L’absence de suivi des variations du micrologiciel et d’analyse des vulnérabilités crée un grand angle mort sur les réseaux d’entreprise et les rootkits de bas niveau comme iLOBleed peuvent fournir aux ennemis une présence extrêmement persistante et puissante dans les environnements.
Si le micrologiciel BMC offre le choix de entravent le déploiement d’anciennes variantes de micrologiciels – rétrogradations – comme lorsqu’il s’agit de serveurs HPE Gen10/iLO5, cette alternative doit être activée. D’autres fonctions de sécurité du micrologiciel telles que la vérification de la signature numérique doivent également être activées.
Les informations d’identification administratives par défaut pour les interfaces BMC et les panneaux d’administration doivent être modifiées et les fonctionnalités de sécurité telles que le cryptage et l’authentification des fichiers de trafic doivent toujours être activées. .
De nombreux BMC ont des capacités de journalisation qui permettent de surveiller et d’enregistrer les modifications apportées aux serveurs via des exigences telles que Redfish et d’autres interfaces XML. Ces journaux doivent parfois être audités pour détecter toute modification non autorisée.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
