Le spécialiste de la cybersécurité Eclypsium a découvert une vulnérabilité de sécurité, nommée USBAnywhere, qui affecte le baseboard management controller (BMC) des plateformes X9, X10 et X11 des cartes mères pour serveurs de Supermicro.

Le BMC est un microcontrôleur intégré à la carte mère d’un ordinateur – en général, un serveur – qui gère l’interface entre les logiciels de gestion de systèmes et la plateforme matérielle.

Par conception, ce composant est hautement privilégié, afin que les administrateurs puissent gérer les systèmes à distance quel que soit le statut des cartes réseau.

Cette vulnérabilité permet à un attaquant de se connecter facilement sur un système et de monter tout appareil USB sur ce serveur, à distance sur n’importe quel réseau, y compris internet.

Le problème est la façon dont est gérée la virtualisation des médias : il est possible de s’y connecter à distance avec un mot de passe en clair, les données en transit ne sont pas chiffrées, et il est possible de contourner l’authentification.

Un attaquant peut donc gagner un accès privilégié à un serveur en utilisant les nom et mot de passe par défaut, en capturant les informations de connexion d’une personne légitime au niveau des paquets de réseau, et dans certains cas, sans même s’authentifier du tout.

Une fois connecté, le service permet d’interagir avec le serveur comme si l’on disposait d’un accès physique aux ports USB. Comme lancer un nouveau système d’exploitation ou interagir avec le serveur avec le clavier et la souris pour le modifier, implanter des logiciels malveillants, voir rendre impossible de s’y connecter.

Eclypsium affirme avoir détecté plus de 47 000 serveurs en danger sur internet.

Il est donc fortement recommandé de mettre à jour le micrologiciel des cartes mères avec des correctifs de sécurité développés par Supermicro, suite à la divulgation confidentielle de sa découverte par Eclypsium.

Ce qui sera peut-être plus facile à dire qu’à faire, car les cartes mères Supermicro sont présentes dans les serveurs de nombreux fabricants, sans que cela ne soit généralement spécifié par ces derniers : Supermicro est le numéro un des cartes mères pour serveurs dans le monde.

Dans tous les cas, la recommandation suivante est utile : un BMC ne devrait jamais être exposé directement sur internet.