Et un CVSS 10, un ! Après Cisco et Citrix, voici venir AMI MegaRAC — l’ultra-commun Baseboard Management Controller (BMC) — qui se voit décerner le prix du “pire moment pour laisser un accès root sans contrôle”.
🎯 Le contexte
CVE-2024-54085 (et ses petits copains) affectent les firmwares MegaRAC SPx, présents dans une infinité de serveurs, notamment Dell, HPE, Lenovo, ASUS, Gigabyte, Supermicro, ASRockRack, et bien d’autres. Oui, vous en avez probablement dans votre datacenter. Et non, vous ne l’avez probablement pas patché.
La CISA a confirmé que la faille est activement exploitée dans la nature. Traduction : des groupes APT et des cybercriminels en pyjama ont déjà un accès root à des serveurs qui croient naïvement être dans une salle sécurisée.
🧠 Petit rappel : c’est quoi un BMC ?
Le BMC (Baseboard Management Controller), c’est la puce qui permet aux admins d’accéder à un serveur à distance même s’il est éteint. Il permet :
- d’allumer ou redémarrer la machine,
- d’accéder à la console série,
- de flasher le BIOS,
- de monter une image ISO,
- et, globalement, de jouer à Dieu.
Mais quand une vulnérabilité permet à un attaquant non authentifié de faire tout ça lui aussi…, disons que ça met une légère tension dans la salle serveur.
🔓 Exploitation : facile, propre, silencieuse
La faille permet une authentification contournée sur l’interface web ou l’API Redfish du BMC, suivie d’une exécution de code arbitraire. Et comme tout ça s’exécute en privilèges maximaux sur la carte mère, l’attaquant peut :
- flasher un nouveau firmware (malveillant, bien sûr),
- “bricker” le serveur volontairement,
- injecter un rootkit au niveau du BIOS ou de l’OS au boot,
- installer une backdoor persistante qui survivra aux réinstallations système.
Ah, et comme le BMC est souvent ignoré dans les scans de vulnérabilités classiques, vous ne le verrez même pas venir.
📡 Surface d’attaque : massive et invisible
La beauté tragique de cette vulnérabilité, c’est qu’elle touche :
- les datacenters physiques, notamment dans les PME et les collectivités,
- les hébergeurs, y compris dans des clouds privés,
- les serveurs industriels, souvent livrés avec ces BMC activés par défaut.
Et pire encore : certains BMC MegaRAC sont exposés directement sur Internet. Des milliers selon Shodan. Parce que sécurité par obscurité, c’est toujours un plan.
🔥 Ce que ça signifie vraiment
Soyons clairs :
- Votre serveur peut être pris en main à distance.
- Il peut être éteint, allumé, infecté… sans logs dans l’OS.
- L’attaquant peut installer un firmware personnalisé, et vous n’en saurez rien.
- Le redémarrage du serveur ne vous sauvera pas. Ni la réinstallation du système.
Le BMC, c’est l’ultime couche de compromission. Et si elle est prise, il ne vous reste plus que la prière.
🛠️ Que faire (dans l’ordre) ?
- Identifier si vos serveurs utilisent MegaRAC (bonne chance, c’est rarement documenté).
- Si oui : isoler les interfaces de gestion du réseau standard.
- Bloquer tout accès externe à l’interface IPMI / Redfish.
- Mettre à jour le firmware du BMC dès que possible (spoiler : ce n’est pas automatisé).
- Mettre en place une supervision dédiée sur les ports de gestion hors bande.
- Bonus parano : si vous suspectez une compromission, remplacer la carte mère.
🤡 Pour conclure
Cette vulnérabilité est un chef d’œuvre de négligence collective :
- Les constructeurs qui intègrent un firmware sans audit.
- Les intégrateurs qui activent l’accès distant par défaut.
- Les exploitants qui oublient de patcher le BMC depuis… toujours.
- Et les attaquants qui n’en demandaient pas tant.
Comme le dit si bien un admin fatigué :
“Le seul moyen sûr de sécuriser un BMC, c’est de le débrancher… et encore.”
Souhaites-tu aussi l’image humoristique en 16:9 ? Un vampire ou un admin désespéré devant une prise RJ45 dans un cercueil ? 😄
