CERTFR-2022-ALE-014
Vulnerability from certfr_alerte

Contexte

Le 05 décembre 2022, trois vulnérabilités respectivement identifiées par les numéros CVE-2022-40259, CVE-2022-40242 et CVE-2022-2827 ont été signalées dans la solution d’administration à distance MegaRAC de l’éditeur AMI.

La solution MegaRAC s’appuie sur un BMC (Baseboard Management Controller) : un microcontrôleur intégré à la carte mère d’un serveur (ou installé comme carte fille) qui possède son propre stockage, son propre système d’exploitation et peut disposer d’un port réseau dédié ou partagé avec le système principal. Ce microcontrôleur est utilisé afin de fournir des capacités de gestion à distance en mode "hors bande" et "hors tension". Il permet aux administrateurs d’effectuer à distance un certain nombre de tâches qui nécessiteraient autrement un accès physique au serveur. Le processeur BMC dispose en effet d’accès aux différents composants de la carte mère, ce qui lui permet de surveiller le matériel, mettre à jour le micrologiciel du BIOS, mettre l'hôte sous tension, et permettre un déport clavier-écran-souris via le réseau. Souvent, il est connecté au bus PCIe et bénéficie d’un accès direct plus ou moins large à la mémoire en lecture et écriture (DMA, Direct Memory Access).

Ce contrôleur peut être accédé par différentes interfaces :

  • IPMI (Intelligent Platform Management Interface) : il s’agit d’un ensemble de spécifications d’interface permettant d’accéder aux fonctions du BMC via le réseau IP ;
  • Redfish, successeur de IPMI, proposant une interface RESTful pour la gestion des serveurs, du stockage et des réseaux. Redfish est pris en charge par les principaux fournisseurs de serveurs et d'infrastructures, ainsi que par le projet de micrologiciel OpenBMC ;
  • des protocoles réseau tels que SSH.

De nombreux constructeurs de carte mère intègrent la solution AMI MegaRAC dans leurs modèles pour serveurs.

Description

Ces trois vulnérabilités, d'une gravité moyenne à critique permettent une exécution de code à distance et un accès non autorisé à des périphériques requérant normalement des privilèges administrateur.

La première vulnérabilité, désignée par l’identifiant CVE-2022-40242, concerne l’existence d’un compte administrateur disposant d’un mot de passe par défaut.

La seconde vulnérabilité, CVE-2022-2827, permet d’énumérer les comptes configurés au niveau du BMC.

Enfin, la troisième vulnérabilité, CVE-2022-40259, offre la possibilité à un attaquant distant de tirer parti d’une mauvaise gestion des paramètres fournis dans l’URL pour exploiter un appel dans l’implémentation de l’API Redfish (IPMI). Cette vulnérabilité de type exécution de code arbitraire à distance requiert un niveau de privilège minimal de type « callback » ou supérieur.

L’attaquant pourra ainsi tirer parti des deux premières vulnérabilités pour obtenir un compte permettant d’exploiter la troisième.

La plupart des serveurs ont une configuration d’usine avec les interfaces IPMI ou Redfish activées et accessibles via un port réseau dédié ou via l’interface réseau principale de la carte mère, qui est alors partagée de manière transparente avec le système d’exploitation. Cette interface du BMC et son adressage sont généralement invisibles du système d’exploitation et des outils d’inventaire installés. Par ailleurs, l’une des fonctions du BMC est de pouvoir arrêter ou démarrer un serveur à distance, il reste donc alimenté et accessible via les interfaces IPMI, Redfish ou SSH même lorsque le serveur est éteint. En l’absence de procédure spécifique de configuration à la mise en service d’un serveur (spécifiquement pour ne pas exposer cette interface ailleurs que sur un réseau dédié à la gestion hors bande), il est très probable que les interfaces d’accès au BMC soient exposées par inadvertance.

Pour l’heure, rien n’indique que ces vulnérabilités aient pu faire l’objet d’attaques ciblées. Pour autant, ces vulnérabilités présentent un risque majeur car la solution MegaRAC est intégrée par de nombreux constructeurs de serveurs. La complexité de la chaîne d’approvisionnement ralentit le déploiement des correctifs, augmentant significativement l’exposition des serveurs utilisant cette solution à des attaques.

Chaînées ensemble, ces vulnérabilités permettent de prendre le contrôle à distance des serveurs, le vol de secrets critiques (par exemple empreintes et mots de passe en mémoire d’un contrôleur de domaine), le déploiement à distance de logiciels malveillants (par exemple des rançongiciels ou des implants de micrologiciel) y compris sur des machines virtuelles hébergées sur le serveur physique vulnérable. Du fait de son ancrage au niveau matériel, l’installation d’un implant au sein de l’IPMI constituerait une porte dérobée de premier choix, car celui-ci serait persistant à une réinstallation du système hôte voire à un changement de disque dur du serveur.

Recommandations

Au regard des possibilités offensives induites et du nombre d’équipements vulnérables, le CERT-FR recommande de manière générale, et pour l’ensemble des systèmes de gestion hors bande, de : - désactiver les interfaces d’accès au BMC si celui-ci n’est pas utilisé dans le cadre de la supervision et de l’administration à distance\* ; - appliquer les correctifs publiés par les fabricants ; - s’assurer que tous les accès réseau aux sous-systèmes BMC (IPMI, Redfish, SSH, etc.) sont uniquement permis depuis sur un réseau de gestion dédié ; - activer les fonctionnalités de pare-feu proposées par IPMI ou Redfish afin de restreindre l’accès aux interfaces aux seuls postes d’administration ; - mettre en place un système de journalisation distante : - authentification - autorisation (utilisateurs / services) - état du système (mise sous tension / hors tension, redémarrage) - changements système (mise à jour du micrologiciel, chargement du micrologiciel après une compromission du système hôte) - désactiver ou changer les identifiants des comptes installés par défaut au niveau du BMC ; - respecter le principe du moindre privilège pour les actions de supervision ou de gestion au travers du BMC (rôles root, administrator, operator, user et callback).

* Il convient de noter que cela ne désactive pas le fonctionnement du contrôleur BMC mais réduit son exposition depuis le réseau

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
N/A N/A AMI MegaRAC SPx-13 versions 0 à SPx-13-update-4.00
N/A N/A AMI MegaRAC SPx-12 versions 0 à SPx-12-update-6.00
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "AMI MegaRAC SPx-13 versions 0 \u00e0 SPx-13-update-4.00",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "AMI MegaRAC SPx-12 versions 0 \u00e0 SPx-12-update-6.00",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2023-09-11",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2022-40242",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-40242"
    },
    {
      "name": "CVE-2022-40259",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-40259"
    },
    {
      "name": "CVE-2022-2827",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-2827"
    }
  ],
  "initial_release_date": "2022-12-16T00:00:00",
  "last_revision_date": "2023-09-11T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Lenovo du 12 septembre 2022",
      "url": "https://support.lenovo.com/us/en/product_security/LEN-98711"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gigabyte du 13 d\u00e9cembre 2022",
      "url": "https://www.gigabyte.com/Support/Security/2044"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Hewlett Packard 22 novembre 2022",
      "url": "https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US\u0026docId=hpesbhf04385en_us"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Intel du 12 mai 2022",
      "url": "https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00801.html"
    }
  ],
  "reference": "CERTFR-2022-ALE-014",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2022-12-16T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2023-09-11T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "## Contexte\n\nLe 05 d\u00e9cembre 2022, trois vuln\u00e9rabilit\u00e9s respectivement identifi\u00e9es par\nles num\u00e9ros CVE-2022-40259, CVE-2022-40242 et CVE-2022-2827 ont \u00e9t\u00e9\nsignal\u00e9es dans la solution d\u2019administration \u00e0 distance MegaRAC de\nl\u2019\u00e9diteur AMI.\n\nLa solution MegaRAC s\u2019appuie sur un BMC (Baseboard Management\nController)\u00a0: un microcontr\u00f4leur int\u00e9gr\u00e9 \u00e0 la carte m\u00e8re d\u2019un serveur\n(ou install\u00e9 comme carte fille) qui poss\u00e8de son propre stockage, son\npropre syst\u00e8me d\u2019exploitation et peut disposer d\u2019un port r\u00e9seau d\u00e9di\u00e9 ou\npartag\u00e9 avec le syst\u00e8me principal. Ce microcontr\u00f4leur est utilis\u00e9 afin\nde fournir des capacit\u00e9s de gestion \u00e0 distance en mode \"hors bande\" et\n\"hors tension\". Il permet aux administrateurs d\u2019effectuer \u00e0 distance un\ncertain nombre de t\u00e2ches qui n\u00e9cessiteraient autrement un acc\u00e8s physique\nau serveur. Le processeur BMC dispose en effet d\u2019acc\u00e8s aux diff\u00e9rents\ncomposants de la carte m\u00e8re, ce qui lui permet de surveiller le\nmat\u00e9riel, mettre \u00e0 jour le micrologiciel du BIOS, mettre l\u0027h\u00f4te sous\ntension, et permettre un d\u00e9port clavier-\u00e9cran-souris *via* le r\u00e9seau.\nSouvent, il est connect\u00e9 au bus PCIe et b\u00e9n\u00e9ficie d\u2019un acc\u00e8s direct plus\nou moins large \u00e0 la m\u00e9moire en lecture et \u00e9criture (DMA, Direct Memory\nAccess).\n\nCe contr\u00f4leur peut \u00eatre acc\u00e9d\u00e9 par diff\u00e9rentes interfaces\u00a0:\n\n-   IPMI (Intelligent Platform Management Interface)\u00a0: il s\u2019agit d\u2019un\n    ensemble de sp\u00e9cifications d\u2019interface permettant d\u2019acc\u00e9der aux\n    fonctions du BMC *via* le r\u00e9seau IP ;\n-   Redfish, successeur de IPMI, proposant une interface RESTful pour la\n    gestion des serveurs, du stockage et des r\u00e9seaux. Redfish est pris\n    en charge par les principaux fournisseurs de serveurs et\n    d\u0027infrastructures, ainsi que par le projet de micrologiciel OpenBMC\n    ;\n-   des protocoles r\u00e9seau tels que SSH.\n\nDe nombreux constructeurs de carte m\u00e8re int\u00e8grent la solution AMI\nMegaRAC dans leurs mod\u00e8les pour serveurs.\n\n## Description\n\nCes trois vuln\u00e9rabilit\u00e9s, d\u0027une gravit\u00e9 moyenne \u00e0 critique permettent\nune ex\u00e9cution de code \u00e0 distance et un acc\u00e8s non autoris\u00e9 \u00e0 des\np\u00e9riph\u00e9riques requ\u00e9rant normalement des privil\u00e8ges administrateur.\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9, d\u00e9sign\u00e9e par l\u2019identifiant CVE-2022-40242,\nconcerne l\u2019existence d\u2019un compte administrateur disposant d\u2019un mot de\npasse par d\u00e9faut.\n\nLa seconde vuln\u00e9rabilit\u00e9, CVE-2022-2827, permet d\u2019\u00e9num\u00e9rer les comptes\nconfigur\u00e9s au niveau du BMC.\n\nEnfin, la troisi\u00e8me vuln\u00e9rabilit\u00e9, CVE-2022-40259, offre la possibilit\u00e9\n\u00e0 un attaquant distant de tirer parti d\u2019une mauvaise gestion des\nparam\u00e8tres fournis dans l\u2019URL pour exploiter un appel dans\nl\u2019impl\u00e9mentation de l\u2019API Redfish (IPMI). Cette vuln\u00e9rabilit\u00e9 de type\nex\u00e9cution de code arbitraire \u00e0 distance requiert un niveau de privil\u00e8ge\nminimal de type \u00ab\u00a0callback\u00a0\u00bb ou sup\u00e9rieur.\n\nL\u2019attaquant pourra ainsi tirer parti des deux premi\u00e8res vuln\u00e9rabilit\u00e9s\npour obtenir un compte permettant d\u2019exploiter la troisi\u00e8me.\n\nLa plupart des serveurs ont une configuration d\u2019usine avec les\ninterfaces IPMI ou Redfish activ\u00e9es et accessibles *via* un port r\u00e9seau\nd\u00e9di\u00e9 ou *via* l\u2019interface r\u00e9seau principale de la carte m\u00e8re, qui est\nalors partag\u00e9e de mani\u00e8re transparente avec le syst\u00e8me d\u2019exploitation.\nCette interface du BMC et son adressage sont g\u00e9n\u00e9ralement invisibles du\nsyst\u00e8me d\u2019exploitation et des outils d\u2019inventaire install\u00e9s. Par\nailleurs, l\u2019une des fonctions du BMC est de pouvoir arr\u00eater ou d\u00e9marrer\nun serveur \u00e0 distance, il reste donc aliment\u00e9 et accessible *via* les\ninterfaces IPMI, Redfish ou SSH m\u00eame lorsque le serveur est \u00e9teint. En\nl\u2019absence de proc\u00e9dure sp\u00e9cifique de configuration \u00e0 la mise en service\nd\u2019un serveur (sp\u00e9cifiquement pour ne pas exposer cette interface\nailleurs que sur un r\u00e9seau d\u00e9di\u00e9 \u00e0 la gestion hors bande), il est tr\u00e8s\nprobable que les interfaces d\u2019acc\u00e8s au BMC soient expos\u00e9es par\ninadvertance.\n\nPour l\u2019heure, rien n\u2019indique que ces vuln\u00e9rabilit\u00e9s aient pu faire\nl\u2019objet d\u2019attaques cibl\u00e9es. Pour autant, ces vuln\u00e9rabilit\u00e9s pr\u00e9sentent\nun risque majeur car la solution MegaRAC est int\u00e9gr\u00e9e par de nombreux\nconstructeurs de serveurs. La complexit\u00e9 de la cha\u00eene\nd\u2019approvisionnement ralentit le d\u00e9ploiement des correctifs, augmentant\nsignificativement l\u2019exposition des serveurs utilisant cette solution \u00e0\ndes attaques.\n\nCha\u00een\u00e9es ensemble, ces vuln\u00e9rabilit\u00e9s permettent de prendre le contr\u00f4le\n\u00e0 distance des serveurs, le vol de secrets critiques (par exemple\nempreintes et mots de passe en m\u00e9moire d\u2019un contr\u00f4leur de domaine), le\nd\u00e9ploiement \u00e0 distance de logiciels malveillants (par exemple des\nran\u00e7ongiciels ou des implants de micrologiciel) y compris sur des\nmachines virtuelles h\u00e9berg\u00e9es sur le serveur physique vuln\u00e9rable. Du\nfait de son ancrage au niveau mat\u00e9riel, l\u2019installation d\u2019un implant au\nsein de l\u2019IPMI constituerait une porte d\u00e9rob\u00e9e de premier choix, car\ncelui-ci serait persistant \u00e0 une r\u00e9installation du syst\u00e8me h\u00f4te voire \u00e0\nun changement de disque dur du serveur.\n\n\u00a0\n\n## Recommandations\n\n\u003cdiv markdown=\"1\"\u003e\n\nAu regard des possibilit\u00e9s offensives induites et du nombre\nd\u2019\u00e9quipements vuln\u00e9rables, le CERT-FR recommande de mani\u00e8re g\u00e9n\u00e9rale, et\npour l\u2019ensemble des syst\u00e8mes de gestion hors bande, de :\n\n-   d\u00e9sactiver les interfaces d\u2019acc\u00e8s au BMC si celui-ci n\u2019est pas\n    utilis\u00e9 dans le cadre de la supervision et de l\u2019administration \u00e0\n    distance\\* ;\n-   appliquer les correctifs publi\u00e9s par les fabricants\u00a0;\n-   s\u2019assurer que tous les acc\u00e8s r\u00e9seau aux sous-syst\u00e8mes BMC (IPMI,\n    Redfish, SSH, etc.) sont uniquement permis depuis sur un r\u00e9seau de\n    gestion d\u00e9di\u00e9\u00a0;\n-   activer les fonctionnalit\u00e9s de pare-feu propos\u00e9es par IPMI ou\n    Redfish afin de restreindre l\u2019acc\u00e8s aux interfaces aux seuls postes\n    d\u2019administration\u00a0;\n-   mettre en place un syst\u00e8me de journalisation distante\u00a0:\n    -   authentification\n    -   autorisation (utilisateurs / services)\n    -   \u00e9tat du syst\u00e8me (mise sous tension / hors tension, red\u00e9marrage)\n    -   changements syst\u00e8me (mise \u00e0 jour du micrologiciel, chargement du\n        micrologiciel apr\u00e8s une compromission du syst\u00e8me h\u00f4te)\n-   d\u00e9sactiver ou changer les identifiants des comptes install\u00e9s par\n    d\u00e9faut au niveau du BMC ;\n-   respecter le principe du moindre privil\u00e8ge pour les actions de\n    supervision ou de gestion au travers du BMC (r\u00f4les root,\n    administrator, operator, user et callback).\n\n\u003c/div\u003e\n\n\u00a0\n\n\\* Il convient de noter que cela ne d\u00e9sactive pas le fonctionnement du\ncontr\u00f4leur BMC mais r\u00e9duit son exposition depuis le r\u00e9seau\n\n\u00a0\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans AMI MegaRAC",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Rapport de d\u00e9couverte Eclypsium du 5 d\u00e9cembre 2022",
      "url": "https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.