Cette faille critique dans MegaRAC menace des milliers de serveurs, y compris ceux éteints !
Une faille de sécurité critique dans le firmware AMI MegaRAC, activement exploitée, menace la sécurité de milliers de serveurs, y compris lorsqu'ils sont éteints. Faisons le point.
Sommaire
CVE-2024-54085 : une faille de sécurité critique
La vulnérabilité en question, associée à la référence CVE-2024-54085, réside dans le contrôleur de gestion de la carte mère (BMC, pour Baseboard Management Controller) suivant : AMI MegaRAC. Ces microcontrôleurs sont utilisés pour la gestion à distance de serveurs, même lorsque le système d'exploitation est arrêté, puisqu'il s'agit d'un accès bas niveau. Ces outils sont très utilisés par les entreprises, ainsi qu'en centre de données.
Par exemple, les administrateurs IT s'appuient sur les BMC pour réinstaller des systèmes d'exploitation ou apporter des changements de configuration à un grand nombre de serveurs sans intervention physique.
Découverte par Eclypsium et révélée en mars 2025, cette faille de sécurité permet de contourner l'authentification par une simple requête web HTTP. D'ailleurs, un code d'exploitation PoC a été publié, et ce dernier permet à un attaquant distant de créer un compte administrateur sans être authentifié !
De son côté, la CISA (Cybersecurity and Infrastructure Security Agency) américaine a lancé un avertissement au sujet de cette faille de sécurité critique, associée à un score CVSS de 10 sur 10. Elle serait activement exploitée par les cybercriminels, la CISA l'a donc ajoutée à son catalogue KEV qui référence les vulnérabilités connues et exploitées.
Bien qu'il n'y ait pas de détails publics sur ces attaques, Eclypsium pointe du doigt des groupes d'espionnage liés au gouvernement chinois (APT).
Quels sont les risques ?
En exploitant cette vulnérabilité, les attaquants peuvent obtenir un accès au BMC d'un ou plusieurs serveurs. Mais, alors, quels sont les risques associés ? Les cybercriminels peuvent allumer, éteindre ou redémarrer à distance le serveur. Ils peuvent aussi utiliser le BMC comme point d'entrée pour effectuer des mouvements latéraux au sein du réseau.
"En opérant sous le système d'exploitation, les attaquants peuvent échapper à la protection des Endpoints, à la journalisation et à la plupart des outils de sécurité traditionnels.", précise les chercheurs. De plus, le BMC dispose d'un accès privilégié au matériel du serveur.
Les possibilités sont nombreuses avec un tel accès sur un serveur. Les chercheurs évoquent même la possibilité de créer une indisponibilité avec des redémarrages en boucle, et même créer des dommages physiques au matériel : "Dommages physiques - Commandes de surtension qui peuvent endommager le matériel de façon permanente.", peut-on lire dans le rapport.
Qui est affecté ? Comment se protéger ?
La ligne de produits AMI MegaRAC vulnérables utilise l'interface Redfish et est intégrée par de nombreux fabricants de serveurs. Ainsi, vous êtes susceptible d'avoir du matériel vulnérable chez les marques suivants : AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro et Qualcomm. Il y a donc des milliers de serveurs potentiellement vulnérables...
Ce qu'il faut retenir au niveau des versions vulnérables (voir cette page) :
- Versions affectées de la 12.0 et avant la version 12.7.
- Versions affectées de la 13.0 et avant la version 13.5.
Si certains ont déjà publié des correctifs, ce n'est pas encore le cas pour tous.
