Les serveurs Quanta Cloud Technology (QCT) ont été identifiés comme vulnérables à la grave faille « Pantsdown » Baseboard Management Controller (BMC), selon une nouvelle étude publiée aujourd’hui.
« Un attaquant exécutant du code sur un serveur QCT vulnérable pourrait » sauter « de l’hôte du serveur au BMC et déplacer ses attaques vers le réseau de gestion du serveur, éventuellement continuer et obtenir d’autres autorisations pour d’autres BMC sur le réseau et en faisant cela accéder à d’autres serveurs », société de sécurité du micrologiciel et du matériel Eclypsium mentionné.
Un contrôleur de gestion de carte mère est un système spécialisé utilisé pour la surveillance et la gestion à distance des serveurs, y compris le contrôle des paramètres matériels de bas niveau ainsi que l’installation des mises à jour du micrologiciel et des logiciels.
Suivi comme CVE-2019-6260 (score CVSS : 9,8), la faille de sécurité critique a été révélé en janvier 2019 et concerne un cas d’accès arbitraire en lecture et en écriture à l’espace d’adressage physique du BMC, entraînant l’exécution de code arbitraire.
L’exploitation réussie de la vulnérabilité peut fournir à un pirate un contrôle total sur le serveur, ce qui permet d’écraser le micrologiciel BMC avec du code malveillant, de déployer des logiciels malveillants persistants, d’exfiltrer des données et même de briquer le système.
Les modèles de serveur QCT concernés incluent D52BQ-2U, D52BQ-2U 3UPI, D52BV-2U, qui sont fournis avec BMC version 4.55.00 qui exécute une version du logiciel BMC vulnérable à
Pantalon baissé. Suite à la divulgation responsable du 7 octobre 2021, un correctif a été mis à la disposition des clients en privé le 15 avril.
Le fait qu’une faiblesse vieille de trois ans continue d’exister souligne la nécessité de fortifier le code au niveau du micrologiciel en application des mises à jour en temps opportun et en analysant régulièrement le micrologiciel à la recherche d’indicateurs potentiels de compromission.
La sécurité du micrologiciel est particulièrement cruciale compte tenu du fait que des composants tels que BMC sont devenus une cible lucrative de cyberattaques visant à implanter des logiciels malveillants furtifs tels que iLOBleed qui est conçu pour effacer complètement les disques d’un serveur victime.
Pour atténuer ces risques, il est rappelé que les organisations qui s’appuient sur les produits QCT doivent vérifier l’intégrité de leur micrologiciel BMC et mettre à jour le composant vers la dernière version au fur et à mesure que les correctifs sont disponibles.
« Les adversaires sont de plus en plus à l’aise pour lancer des attaques au niveau du micrologiciel », a déclaré la société. « Ce qu’il est important de noter, c’est à quel point la connaissance des exploits au niveau du micrologiciel a augmenté au fil des ans : ce qui était difficile en 2019 est presque insignifiant aujourd’hui. »