Les opérateurs de centres de données sur site et les fournisseurs de cloud utilisent MegaRAC BMC pour gérer à distance les serveurs. La technologie est intégrée aux systèmes de fabricants tels que Dell EMC, HPE, Lenovo et AMD.
En août 2022, la société de sécurité Eclypsium a découvert trois vulnérabilités dans le micrologiciel de MegaRAC BMC. Les vulnérabilités étaient récemment révélé.
Vulnérabilité critique
Le problème le plus grave (CVE-2022-40259) a reçu un score CVSS de 9,9. La vulnérabilité permet aux attaquants d’exécuter du code en envoyant un appel d’API Redfish aux systèmes exécutant le micrologiciel MegaRAC BMC.
Redfish est une norme API pour la gestion des serveurs. La plupart des fournisseurs d’infrastructure prennent en charge la norme. Le firmware du MegaRAC BMC contient une implémentation de Redfish. Une faille dans l’implémentation permet aux attaquants d’envoyer et d’exécuter du code sur un système via un appel d’API Redfish.
Les appels de l’API Redfish ne sont pas acceptés par tous les expéditeurs. Un attaquant a besoin d’un compte avec des privilèges de bas niveau pour exploiter la vulnérabilité.
Les vulnérabilités avec une telle condition reçoivent rarement des scores CVSS de 9,9, mais c’est un cas exceptionnel. MegaRAC BMC est une norme de l’industrie pour la gestion des serveurs. Le micrologiciel est intégré à un grand nombre de systèmes matériels.
Pas de correctif simple
MegaRAC BMC est développé par American Megatrends. Au cours des derniers mois, l’organisation a collaboré avec Eclypsium pour atténuer l’impact de la vulnérabilité.
Comme MegaRAC BMC est intégré à divers systèmes matériels et solutions logicielles, il est difficile de résoudre la vulnérabilité avec un seul correctif.
Selon Eclypsium, on ignore actuellement si la vulnérabilité est activement exploitée par les cybercriminels. La société de sécurité a conseillé aux organisations de prendre plusieurs précautions.
Comptes administrateur et noms d’utilisateur
En plus du problème dans Redfish, Eclypsium a découvert deux vulnérabilités avec des scores CVSS inférieurs. Tout d’abord, MegaRAC BMC utilise un compte administrateur par défaut avec un mot de passe par défaut, permettant aux attaquants d’accéder à des privilèges élevés (CVE-2022-40242).
Deuxièmement, une faille dans le processus de récupération de mot de passe de MegaRAC BMC permet aux attaquants de vérifier si un nom d’utilisateur est utilisé, ce qui peut aider à déduire les noms d’utilisateur des comptes (CVE-2022-2827).
Toute l’actualité en temps réel, est sur L’Entrepreneur
