Trop d’erreurs stupides dans le software de gestion des systèmes

Les implémentations de logiciels pour la gestion interne des systèmes offrent aux hackers la… chance de prendre le contrôle de serveurs et routeurs en raison d’une multitude d’erreurs stupides, selon une étude de l’Université du Michigan.

Des systèmes tels des serveurs et des routeurs sont souvent équipés d’un Baseboard Management Controller embarqué qui se charge de la gestion (à distance) de leur fonctionnement interne. Il peut être ici question “d’un monitoring de l’état du hardware, de l’état de mise en/hors tension, de la température, le cas échéant d’une connexion IP”. Sur ce genre de BMC, l’on retrouve souvent une implémentation de l’Intelligent Platform Management Interface (IPMI), une initiative d’Intel, en collaboration avec plus de 200 entreprises, dont Cisco, Dell, HP et d’autres, en version 2.0 depuis 2004.

Une équipe de l’Université du Michigan a rapporté dans le cadre d’un atelier Usenix consacré aux ‘offensive technologies’ à Washington DC comment une multitude d’erreurs dans les implémentations OEM de l’IPMI menacent des centaines de milliers de systèmes. Concrètement, elle a analysé une implémentation par Aten Technologies de l’IPMI, telle que fournie par le fabricant de serveurs Supermicro, et “l’on y a découvert que le firmware contenait de nombreux exemples d’école de faiblesses sécuritaires, y compris l’abus possible de la ‘privilege escalation’, de la ‘shell injection’ et du ‘buffer overflow'”. Les appareils IPMI offrent ici des possibilités d’attaque sur un large front (via toute une série de ports utilisés). Les chercheurs ont également découvert que plus de 100.000 systèmes étaient accessibles via des adresses IP publiques, dont plus de 40.000 pouvaient être abusés pour l’une ou l’autre raison. Souvent, cela est dû à de la pure nonchalance de la part des gestionnaires de systèmes (mots de passe d’origine non modifiés, qui peuvent être aisément découverts dans la documentation,…), mais ces gestionnaires ne peuvent souvent pas non évaluer le degré de sensibilité de l’IPMI dans leurs systèmes. Il arrive aussi que les possibilités de mise à jour soient compliquées (manuellement ou à cause de dangers supplémentaires en raison d’une faiblesse d’authentification en cas de mises à jour à distance).

Le problème ne se limite du reste pas nécessairement aux implémentations IPMI d’Aten, puisqu’il est question aussi – plus en amont – d’un éventail de faiblesses dans deux des bibliothèques uPnP (Universal Plug & Play) les plus populaires, soulignent les chercheurs. Une autre recherche indique aussi des problèmes similaires au niveau de routeurs à la consommation. L’article décrit plusieurs scénarios d’attaque, dont des IPMI botnets.

Leçons et conseils

Les chercheurs conseillent aux utilisateurs de systèmes avec IPMI d’actualiser le firmware IPMI, de changer les mots de passe d’origine et de ne jamais attribuer d’adresse IP publique aux appareils IPMI. Pour ce qui est des développeurs de logiciels IPMI et des server-OEM, les chercheurs estiment que “les purs exemples d’école d’erreurs […] révèlent soit de l’incompétence, soit une indifférence en matière de sécurité au niveau des clients. Ils doivent tant améliorer les implémentations qu’inciter les utilisateurs à une utilisation sûre.

En outre, il faut “aussi examiner des implémentations d’autres fournisseurs en vue, tels Dell, HP, Lenovo et Oracle. Et l’utilisation de pots de miel (‘honeypots’) IPMI (des installations qui attirent les attaques de cybercriminels) devrait aider à visualiser l’importance de l’abus de l’IPMI dans la pratique.