Porte arrière ouverte. Jamais un bon signe dans un environnement de sécurité informatique. Les chercheurs qui fouillent sont sûrs d'appeler leurs découvertes dans un cas comme le récent, où les serveurs cloud semblaient pouvoir être compromis.

Beaverton, Les observateurs de sécurité basés dans l'Oregon, Eclypsium, avaient exploré comment les logiciels malveillants pouvaient être injectés dans des serveurs cloud bare metal. L'exploit était un hack BMC.

Que sont les BMC ? Dan Goodin dans Ars Technica a déclaré qu'il s'agit de "microcontrôleurs attachés à la carte mère qui offrent un contrôle extraordinaire sur les serveurs à l'intérieur des centres de données".

BMC signifie Baseboard Management Controller. Voici la définition d'IBM. "Le Baseboard Management Controller (BMC) est un composant tiers conçu pour permettre la gestion à distance d'un serveur pour le provisionnement initial, réinstallation et dépannage du système d'exploitation. Dans le cadre de l'offre Bare Metal Server d'IBM Cloud, les clients ont accès au BMC."

Alex Bazhaniuk sur le site Eclypsium avait mis en garde contre d'éventuels problèmes BMC avant le dernier rapport d'Eclypsium. De retour en août, il a souligné que "le BMC est devenu un domaine d'investigation particulièrement chaud pour les chercheurs en sécurité".

Bien que les BMC puissent répondre à un besoin critique des centres de données, ils présentent également un risque.

Comme Goodin l'a découvert, les avertissements sur les BMC et les éventuelles failles de sécurité pourraient être remontés plus loin, comme en 2013, lorsque les chercheurs ont averti que les BMC préinstallés sur les serveurs de certains fabricants de grandes marques étaient mal sécurisés. À son tour, les attaquants pourraient éventuellement avoir "un moyen furtif et pratique de prendre en charge des flottes entières de serveurs à l'intérieur des centres de données".

Dans les dernières découvertes, les chercheurs ont publié un blog détaillé qui a examiné les implications de sécurité pour les services cloud bare-metal et généraux. Ce blog comprenait également des conseils sur les meilleures pratiques pour les clients et les fournisseurs de services cloud.

Dans un modèle de cloud "bare metal", Les vulnérabilités de BMC peuvent remettre en cause ce modèle en permettant à un client de laisser une porte dérobée qui restera active une fois le serveur réaffecté, dit Goodin.

Sur cette même note, BipOrdinateur 's Sergiu Gatlan a écrit que "les serveurs bare metal peuvent être compromis par des attaquants potentiels qui pourraient ajouter des portes dérobées et du code malveillants dans le micrologiciel d'un serveur ou dans son contrôleur de gestion de carte mère (BMC) avec des compétences minimales".

Donc, ces "réaffectations de clients" sont là où des problèmes peuvent apparaître.

Dans BipOrdinateur , Gatlan a résumé la découverte d'Eclypsium, où « les attaquants peuvent implanter des portes dérobées malveillantes dans le micrologiciel de l'infrastructure partagée des services cloud, avec ces implants pouvant survivre après que le fournisseur de services cloud distribue le serveur à un autre client."

Il a déclaré que la vulnérabilité permet aux attaquants d'implanter des implants de porte dérobée dans le micrologiciel ou le BMC des serveurs bare metal qui survivent à la réaffectation des clients dans les services bare metal et cloud généraux.

Avec le client ouvert aux attaques, les scénarios peuvent aller du vol de données, au déni de service, aux ransomwares.

Quand les chiens de sécurité aboient, pendant ce temps, IBM écoute. Et si les aboiements méritent non seulement l'attention mais l'action, alors ils répondent. Le lundi, IBM a déclaré avoir reconnu la vulnérabilité. "Sur certains modèles de système proposés par IBM Cloud et d'autres fournisseurs de cloud, " a déclaré le billet de blog, "un attaquant malveillant ayant accès au système provisionné pourrait écraser le firmware du BMC." Le système peut être renvoyé au pool de matériel. Le micrologiciel BMC compromis pourrait être utilisé pour attaquer le prochain utilisateur du système.

On n'a pas pu s'empêcher de remarquer qu'IBM a qualifié le problème de « faible gravité ». Après tout, "Le BMC a une puissance de traitement et une mémoire limitées, ce qui rend ces types d'attaques difficiles, ", a déclaré IBM. De plus, la société a déclaré n'avoir trouvé aucune indication d'un exploit via cette vulnérabilité à des fins malveillantes.

Quoi, alors, l'action proposée par IBM ?

"IBM a répondu à cette vulnérabilité en forçant tous les BMC, y compris ceux qui signalent déjà un firmware à jour, à reflasher avec le micrologiciel d'usine avant d'être re-provisionné à d'autres clients. Tous les journaux du micrologiciel BMC sont effacés et tous les mots de passe du micrologiciel BMC sont régénérés."

Examen de l'activité informatique :"Bare metal fait référence à un serveur exclusivement loué dans un centre de données cloud, plutôt qu'une infrastructure en tant que service (IaaS) impliquant des machines virtuelles qui utilisent des serveurs physiques pour plusieurs clients cloud."

Comme Eclypsium l'a noté, la plupart des options de service IaaS standard auront plusieurs clients partageant les ressources d'un serveur physique sous-jacent et certains clients auront des exigences de performances élevées pour leurs applications ou posséderont des données sensibles qu'ils ne souhaitent pas voir stockées sur une machine partagée.

« Pour ces applications à forte valeur ajoutée, les fournisseurs de services cloud proposent des options de cloud bare metal dans lesquelles les clients achètent un accès à des services dédiés, serveurs physiques qu'ils peuvent utiliser comme bon leur semble. Il n'y a pas besoin de s'inquiéter de l'achat et de la prise en charge du matériel, ils peuvent évoluer à la demande selon les besoins. »

Comme pour tous les services cloud, une fois qu'un client a fini d'utiliser un serveur bare-metal, le matériel est récupéré par le fournisseur de services et réutilisé pour un autre client.

Le conseil d'adieu de Gatlan :« Bien que les offres de cloud bare metal soient très pratiques pour les organisations qui ne souhaitent pas investir dans leur propre matériel, des problèmes de sécurité tels que celui mis au jour par l'équipe de recherche d'Eclypsium pourraient les convaincre de passer au matériel qu'ils possèdent et gèrent sur site pour éviter que des données sensibles soient consultées ou modifiées, ainsi que les applications critiques désactivées."

© 2019 Réseau Science X