{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"AMI MegaRAC SPx-13 versions 0 \u00e0 SPx-13-update-4.00","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"AMI MegaRAC SPx-12 versions 0 \u00e0 SPx-12-update-6.00","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"closed_at":"2023-09-11","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2022-40242","url":"https://www.cve.org/CVERecord?id=CVE-2022-40242"},{"name":"CVE-2022-40259","url":"https://www.cve.org/CVERecord?id=CVE-2022-40259"},{"name":"CVE-2022-2827","url":"https://www.cve.org/CVERecord?id=CVE-2022-2827"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Lenovo du 12 septembre 2022","url":"https://support.lenovo.com/us/en/product_security/LEN-98711"},{"title":"Bulletin de s\u00e9curit\u00e9 Gigabyte du 13 d\u00e9cembre 2022","url":"https://www.gigabyte.com/Support/Security/2044"},{"title":"Bulletin de s\u00e9curit\u00e9 Hewlett Packard 22 novembre 2022","url":"https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbhf04385en_us"},{"title":"Bulletin de s\u00e9curit\u00e9 Intel du 12 mai 2022","url":"https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00801.html"}],"reference":"CERTFR-2022-ALE-014","revisions":[{"description":"Version initiale","revision_date":"2022-12-16T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2023-09-11T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"## Contexte\n\nLe 05 d\u00e9cembre 2022, trois vuln\u00e9rabilit\u00e9s respectivement identifi\u00e9es par\nles num\u00e9ros CVE-2022-40259, CVE-2022-40242 et CVE-2022-2827 ont \u00e9t\u00e9\nsignal\u00e9es dans la solution d\u2019administration \u00e0 distance MegaRAC de\nl\u2019\u00e9diteur AMI.\n\nLa solution MegaRAC s\u2019appuie sur un BMC (Baseboard Management\nController)\u00a0: un microcontr\u00f4leur int\u00e9gr\u00e9 \u00e0 la carte m\u00e8re d\u2019un serveur\n(ou install\u00e9 comme carte fille) qui poss\u00e8de son propre stockage, son\npropre syst\u00e8me d\u2019exploitation et peut disposer d\u2019un port r\u00e9seau d\u00e9di\u00e9 ou\npartag\u00e9 avec le syst\u00e8me principal. Ce microcontr\u00f4leur est utilis\u00e9 afin\nde fournir des capacit\u00e9s de gestion \u00e0 distance en mode \"hors bande\" et\n\"hors tension\". Il permet aux administrateurs d\u2019effectuer \u00e0 distance un\ncertain nombre de t\u00e2ches qui n\u00e9cessiteraient autrement un acc\u00e8s physique\nau serveur. Le processeur BMC dispose en effet d\u2019acc\u00e8s aux diff\u00e9rents\ncomposants de la carte m\u00e8re, ce qui lui permet de surveiller le\nmat\u00e9riel, mettre \u00e0 jour le micrologiciel du BIOS, mettre l'h\u00f4te sous\ntension, et permettre un d\u00e9port clavier-\u00e9cran-souris *via* le r\u00e9seau.\nSouvent, il est connect\u00e9 au bus PCIe et b\u00e9n\u00e9ficie d\u2019un acc\u00e8s direct plus\nou moins large \u00e0 la m\u00e9moire en lecture et \u00e9criture (DMA, Direct Memory\nAccess).\n\nCe contr\u00f4leur peut \u00eatre acc\u00e9d\u00e9 par diff\u00e9rentes interfaces\u00a0:\n\n- IPMI (Intelligent Platform Management Interface)\u00a0: il s\u2019agit d\u2019un\n ensemble de sp\u00e9cifications d\u2019interface permettant d\u2019acc\u00e9der aux\n fonctions du BMC *via* le r\u00e9seau IP ;\n- Redfish, successeur de IPMI, proposant une interface RESTful pour la\n gestion des serveurs, du stockage et des r\u00e9seaux. Redfish est pris\n en charge par les principaux fournisseurs de serveurs et\n d'infrastructures, ainsi que par le projet de micrologiciel OpenBMC\n ;\n- des protocoles r\u00e9seau tels que SSH.\n\nDe nombreux constructeurs de carte m\u00e8re int\u00e8grent la solution AMI\nMegaRAC dans leurs mod\u00e8les pour serveurs.\n\n## Description\n\nCes trois vuln\u00e9rabilit\u00e9s, d'une gravit\u00e9 moyenne \u00e0 critique permettent\nune ex\u00e9cution de code \u00e0 distance et un acc\u00e8s non autoris\u00e9 \u00e0 des\np\u00e9riph\u00e9riques requ\u00e9rant normalement des privil\u00e8ges administrateur.\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9, d\u00e9sign\u00e9e par l\u2019identifiant CVE-2022-40242,\nconcerne l\u2019existence d\u2019un compte administrateur disposant d\u2019un mot de\npasse par d\u00e9faut.\n\nLa seconde vuln\u00e9rabilit\u00e9, CVE-2022-2827, permet d\u2019\u00e9num\u00e9rer les comptes\nconfigur\u00e9s au niveau du BMC.\n\nEnfin, la troisi\u00e8me vuln\u00e9rabilit\u00e9, CVE-2022-40259, offre la possibilit\u00e9\n\u00e0 un attaquant distant de tirer parti d\u2019une mauvaise gestion des\nparam\u00e8tres fournis dans l\u2019URL pour exploiter un appel dans\nl\u2019impl\u00e9mentation de l\u2019API Redfish (IPMI). Cette vuln\u00e9rabilit\u00e9 de type\nex\u00e9cution de code arbitraire \u00e0 distance requiert un niveau de privil\u00e8ge\nminimal de type \u00ab\u00a0callback\u00a0\u00bb ou sup\u00e9rieur.\n\nL\u2019attaquant pourra ainsi tirer parti des deux premi\u00e8res vuln\u00e9rabilit\u00e9s\npour obtenir un compte permettant d\u2019exploiter la troisi\u00e8me.\n\nLa plupart des serveurs ont une configuration d\u2019usine avec les\ninterfaces IPMI ou Redfish activ\u00e9es et accessibles *via* un port r\u00e9seau\nd\u00e9di\u00e9 ou *via* l\u2019interface r\u00e9seau principale de la carte m\u00e8re, qui est\nalors partag\u00e9e de mani\u00e8re transparente avec le syst\u00e8me d\u2019exploitation.\nCette interface du BMC et son adressage sont g\u00e9n\u00e9ralement invisibles du\nsyst\u00e8me d\u2019exploitation et des outils d\u2019inventaire install\u00e9s. Par\nailleurs, l\u2019une des fonctions du BMC est de pouvoir arr\u00eater ou d\u00e9marrer\nun serveur \u00e0 distance, il reste donc aliment\u00e9 et accessible *via* les\ninterfaces IPMI, Redfish ou SSH m\u00eame lorsque le serveur est \u00e9teint. En\nl\u2019absence de proc\u00e9dure sp\u00e9cifique de configuration \u00e0 la mise en service\nd\u2019un serveur (sp\u00e9cifiquement pour ne pas exposer cette interface\nailleurs que sur un r\u00e9seau d\u00e9di\u00e9 \u00e0 la gestion hors bande), il est tr\u00e8s\nprobable que les interfaces d\u2019acc\u00e8s au BMC soient expos\u00e9es par\ninadvertance.\n\nPour l\u2019heure, rien n\u2019indique que ces vuln\u00e9rabilit\u00e9s aient pu faire\nl\u2019objet d\u2019attaques cibl\u00e9es. Pour autant, ces vuln\u00e9rabilit\u00e9s pr\u00e9sentent\nun risque majeur car la solution MegaRAC est int\u00e9gr\u00e9e par de nombreux\nconstructeurs de serveurs. La complexit\u00e9 de la cha\u00eene\nd\u2019approvisionnement ralentit le d\u00e9ploiement des correctifs, augmentant\nsignificativement l\u2019exposition des serveurs utilisant cette solution \u00e0\ndes attaques.\n\nCha\u00een\u00e9es ensemble, ces vuln\u00e9rabilit\u00e9s permettent de prendre le contr\u00f4le\n\u00e0 distance des serveurs, le vol de secrets critiques (par exemple\nempreintes et mots de passe en m\u00e9moire d\u2019un contr\u00f4leur de domaine), le\nd\u00e9ploiement \u00e0 distance de logiciels malveillants (par exemple des\nran\u00e7ongiciels ou des implants de micrologiciel) y compris sur des\nmachines virtuelles h\u00e9berg\u00e9es sur le serveur physique vuln\u00e9rable. Du\nfait de son ancrage au niveau mat\u00e9riel, l\u2019installation d\u2019un implant au\nsein de l\u2019IPMI constituerait une porte d\u00e9rob\u00e9e de premier choix, car\ncelui-ci serait persistant \u00e0 une r\u00e9installation du syst\u00e8me h\u00f4te voire \u00e0\nun changement de disque dur du serveur.\n\n\u00a0\n\n## Recommandations\n\n
\n\nAu regard des possibilit\u00e9s offensives induites et du nombre\nd\u2019\u00e9quipements vuln\u00e9rables, le CERT-FR recommande de mani\u00e8re g\u00e9n\u00e9rale, et\npour l\u2019ensemble des syst\u00e8mes de gestion hors bande, de :\n\n- d\u00e9sactiver les interfaces d\u2019acc\u00e8s au BMC si celui-ci n\u2019est pas\n utilis\u00e9 dans le cadre de la supervision et de l\u2019administration \u00e0\n distance\\* ;\n- appliquer les correctifs publi\u00e9s par les fabricants\u00a0;\n- s\u2019assurer que tous les acc\u00e8s r\u00e9seau aux sous-syst\u00e8mes BMC (IPMI,\n Redfish, SSH, etc.) sont uniquement permis depuis sur un r\u00e9seau de\n gestion d\u00e9di\u00e9\u00a0;\n- activer les fonctionnalit\u00e9s de pare-feu propos\u00e9es par IPMI ou\n Redfish afin de restreindre l\u2019acc\u00e8s aux interfaces aux seuls postes\n d\u2019administration\u00a0;\n- mettre en place un syst\u00e8me de journalisation distante\u00a0:\n - authentification\n - autorisation (utilisateurs / services)\n - \u00e9tat du syst\u00e8me (mise sous tension / hors tension, red\u00e9marrage)\n - changements syst\u00e8me (mise \u00e0 jour du micrologiciel, chargement du\n micrologiciel apr\u00e8s une compromission du syst\u00e8me h\u00f4te)\n- d\u00e9sactiver ou changer les identifiants des comptes install\u00e9s par\n d\u00e9faut au niveau du BMC ;\n- respecter le principe du moindre privil\u00e8ge pour les actions de\n supervision ou de gestion au travers du BMC (r\u00f4les root,\n administrator, operator, user et callback).\n\n
\n\n\u00a0\n\n\\* Il convient de noter que cela ne d\u00e9sactive pas le fonctionnement du\ncontr\u00f4leur BMC mais r\u00e9duit son exposition depuis le r\u00e9seau\n\n\u00a0\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans AMI MegaRAC","vendor_advisories":[{"published_at":null,"title":"Rapport de d\u00e9couverte Eclypsium du 5 d\u00e9cembre 2022","url":"https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk/"}]}