S’il est un document à lire en cette rentrée des classes c’est bien celui présenté un peu plus tôt ce mois-ci par des chercheurs de l’université du Michigan, à l’occasion de la conférence Usenix WOOT’13.

L’équipe a démontré comment il était possible d’exploiter le protocole d’administration distant IPMI (Intelligent Platform Management Interface), présent par défaut sur les serveurs fournis par les plus grands fabricants (Dell, HP et IBM notamment), afin d’en prendre le contrôle total. Vérifiez… il y a de fortes chances pour que vous hébergiez des BMC actifs sur votre réseau !

A la racine du problème : un pêle-mêle de défauts de conception du protocole IPMI, d’implémentations parfois ratées et de micro-controleurs BMC vulnérables à des failles traditionnelles. Pris séparément il n’y a pas de quoi s’alarmer mais l’usage combiné de ces faiblesses permettrait selon les chercheurs d’installer, par exemple, un sniffer afin de récupérer les identifiants d’administration du système d’exploitation hôte (y compris via la console), un rootkit persistant ou même carrément un système d’exploitation clandestin afin d’obtenir un accès direct aux disques durs des serveurs.

En fait, « clandestin » est bien le mot clé ici : car les micro-controleurs BMC en question sont en réalité de petits « serveurs dans le serveur » : ils fonctionnent sous Linux, offrent des service Web, LDAP et email… Bref, un vrai serveur de secours qui a le mérite de fonctionner même lorsque l’ordinateur est éteint. Des fonctions très utiles pour les administrateurs systèmes, en cas de panne notamment… mais évidemment aussi pour les pirates !

Car selon le chercheur Dan Farmer, bien connu du petit monde des White Hats, il est difficile sinon impossible d’avoir de la visibilité sur ces serveurs intégrés. Et une fois compromis, il est encore plus difficile d’en déloger le pirate. « La quasi-totalité des fabricants ont activé par défaut les fonctionnalités les plus dangereuses de IPMI. Et il est généralement impossible de les corriger en mettant à jour les BMC car les fabricants n’autorisent que l’exécution de leur version propriétaire du logiciel. Les utilisateurs n’ont ainsi aucune visibilité sur le fonctionnement du BMC, et il n’existe aucun outil d’audit ou de forensique dédiés à ces environnements. Il est même interdit de faire une sauvegarde du firmware, et donc il est impossible de restaurer à un état antérieur connu un BMC que l’on craint d’être compromis. En outre, la plupart des fabricants placent des backdoors semi-secrètes dans leurs implémentation de IPMI afin que les équipes de support puissent avoir accès à votre serveur en cas de problème. Et cerise sur le gâteau : un attaquant qui aurait pris le contrôle d’un BMC pourrait faire en sorte qu’il soit impossible de l’en déloger, à moins d’utiliser une astuce non-documentée fournie par le fabricant ou d’endommager physiquement le BMC« , explique Dan Farmer.

C’est le site Ars Technica qui parle le mieux de ce risque. Et de rappeler que les chercheurs de l’université du Michigan sont loin d’être les premiers à tirer la sonnette d’alarme. On l’a vu, Dan Farmer s’est déjà penché sur le sujet. Et il a publié une intéressante synthèse sur ces vulnérabilités. Il parvient sans surprise à la même conclusion que les chercheurs du Michigan : le risque est critique et curieusement sous-évalué, voire caché sous le tapis. Même constat chez HD Moore, l’auteur du framework d’intrusion Metasploit, qui publie d’ailleurs de son côté un guide détaillé d’exploitation de IPMI via les BMC, à destination des pentesteurs.

Et si le risque est aussi élevé ce n’est pas uniquement à cause du contrôle que ces vulnérabilités offrent à l’attaquant. C’est aussi parce que les machines vulnérables sont très répandues. Les chercheurs du Michigan indiquent avoir procédé à un balayage rapide et découvert au moins 100 000 serveurs vulnérables accessibles depuis Internet. De quoi monter un joli botnet très qualitatif ! Et rapidement, de surcroit : l’équipe estime qu’il ne lui faudrait pas plus d’une heure pour tous les compromettre. On se demande pourquoi ça n’a pas encore été fait (ou peut-être risque-t-on d’avoir quelques surprises en vérifiant !)

La solution à ce problème, évidemment, n’est pas unique. Dan Farmer est même plutôt pessimiste. Mais il existe malgré tout des moyens de réduire le risque. A commencer par faire l’inventaire de vos machines qui hébergent un BMC. Puis de celles éventuellement accessibles depuis Internet. Il faudra bien entendu isoler en priorité ces dernières. Ensuite, s’assurer que les firmware BMC sont à jour et les mots de passe changés (le spectre du mot de passe par défaut semble particulièrement vivace dans le monde d’IPMI !).