Plusieurs vulnérabilités de sécurité ont été divulguées dans l’interface de gestion de plateforme intelligente (IPMI) micrologiciel pour les contrôleurs de gestion de carte mère (BMC) Supermicro qui pourrait entraîner une élévation de privilèges et l’exécution de code malveillant sur les systèmes concernés.
Les sept failles, suivies de CVE-2023-40284 à CVE-2023-40290, varient en gravité de élevée à critique, selon Binarly, permettant à des acteurs non authentifiés d’obtenir un accès root au système BMC. Supermicro a expédié une mise à jour du firmware BMC pour corriger les bugs.
Les BMC sont des processeurs spéciaux sur les cartes mères de serveur qui prennent en charge la gestion à distance, permettant aux administrateurs de surveiller les indicateurs matériels tels que la température, de définir la vitesse du ventilateur et de mettre à jour le micrologiciel du système UEFI. De plus, les puces BMC restent opérationnelles même si le système d’exploitation hôte est hors ligne, ce qui en fait des vecteurs d’attaque lucratifs pour déployer des logiciels malveillants persistants.
Une brève explication de chacune des vulnérabilités est ci-dessous –
- CVE-2023-40284, CVE-2023-40287 et CVE-2023-40288 (scores CVSS : 9,6) – Trois scripts intersites (XSS) failles qui permettent à des attaquants distants non authentifiés d’exécuter du code JavaScript arbitraire dans le contexte de l’utilisateur BMC connecté.
- CVE-2023-40285 et CVE-2023-40286 (score CVSS : 8,6) – Deux failles de cross-site scripting (XSS) qui permettent à des attaquants distants non authentifiés d’exécuter du code JavaScript arbitraire dans le contexte de l’utilisateur BMC connecté en empoisonnant les cookies du navigateur ou le stockage local.
- CVE-2023-40289 (score CVSS : 9,1) – Un système d’exploitation défaut d’injection de commande qui permet l’exécution de code malveillant en tant qu’utilisateur disposant de privilèges administratifs.
- CVE-2023-40290 (Score CVSS : 8,3) – Une faille de script intersite (XSS) qui permet à des attaquants distants non authentifiés d’exécuter du code JavaScript arbitraire dans le contexte de l’utilisateur BMC connecté, mais uniquement lors de l’utilisation du navigateur Internet Explorer 11 sous Windows.
CVE-2023-40289 est « critique car il permet à des attaquants authentifiés d’obtenir un accès root et de compromettre complètement le système BMC », Binarly dit dans une analyse technique publiée cette semaine.
“Ce privilège permet de rendre l’attaque persistante même lorsque le composant BMC est redémarré et de se déplacer latéralement au sein de l’infrastructure compromise, infectant d’autres points finaux.”
Les six autres vulnérabilités – CVE-2023-40284, CVE-2023-40287 et CVE-2023-40288 en particulier – pourraient être utilisées pour créer un compte avec des privilèges d’administrateur pour le composant serveur Web du logiciel BMC IPMI.
En conséquence, un attaquant distant cherchant à prendre le contrôle des serveurs pourrait les combiner avec CVE-2023-40289 pour effectuer une injection de commandes et réaliser l’exécution de code. Dans un scénario hypothétique, cela pourrait prendre la forme de l’envoi d’un e-mail de phishing contenant un lien piégé vers l’adresse e-mail de l’administrateur qui, lorsqu’il est cliqué, déclenche l’exécution de la charge utile XSS.
Il n’y a actuellement aucune preuve d’une exploitation malveillante des vulnérabilités dans la nature, bien que Binarly ait déclaré avoir observé plus de 70 000 instances d’interfaces Web Supermicro IPMI exposées sur Internet début octobre 2023.
“Premièrement, il est possible de compromettre à distance le système BMC en exploitant les vulnérabilités du composant serveur Web exposé à Internet”, a expliqué la société de sécurité du micrologiciel.
“Un attaquant peut alors accéder au système d’exploitation du serveur via la fonctionnalité BMC de contrôle à distance iKVM légitime ou en flashant l’UEFI du système cible avec un micrologiciel malveillant qui permet un contrôle persistant du système d’exploitation hôte. À partir de là, rien n’empêche un attaquant de se déplacer latéralement. au sein du réseau interne, compromettant les autres hôtes.”
Plus tôt cette année, deux failles de sécurité ont été révélées dans les BMC AMI MegaRAC qui, si elles étaient exploitées avec succès, pourraient permettre aux acteurs malveillants de réquisitionner à distance des serveurs vulnérables et de déployer des logiciels malveillants.