Dell: les serveurs PowerEdge concernés par une faille

Les chercheurs ont révélé les détails d’une faille dans les serveurs PowerEdge de Dell récemment corrigée et de haute gravité, qui, si elle était exploitée, pourrait permettre à un attaquant de prendre le contrôle et de contrôler pleinement les opérations du serveur.

La vulnérabilité Web a été trouvée dans le contrôleur d’accès à distance Dell EMC iDRAC, technologie intégrée dans les dernières versions des serveurs PowerEdge de Dell. Alors que la vulnérabilité a été corrigée plus tôt en Juillet, Georgy Kiguradze et Mark Ermolov, les chercheurs de Positive Technologies qui ont découvert la faille, ont récemment publié une analyse détaillée.

La vulnérabilité de traversée de chemin (CVE-2020-5366), trouvée dans les versions de Dell EMC iDRAC9 antérieures à 4.20.20.20, a une note de 7,1 en termes d’exploitabilité, ce qui lui confère une cote de vulnérabilité de gravité élevée, selon un avis publié en ligne par Dell.

La traversée de chemin est l’une des trois vulnérabilités les plus courantes que les chercheurs disent avoir rencontrées dans leurs enquêtes. Si elle est exploitée, la faille peut permettre aux attaquants d’afficher le contenu des dossiers du serveur qui ne devraient pas être accessibles même à une personne connectée en tant qu’utilisateur ordinaire du site. L’iDRAC fonctionne sous Linux, et ce qui pousse les pirates informatiques à exploiter la vulnérabilité est la possibilité de lire le fichier /etc/passwd, qui stocke des informations sur les utilisateurs de Linux, ont déclaré les chercheurs.

On peut voir un exemple de la façon dont cela peut être utilisé par des attaquants avec une attaque récente sur deux vulnérabilités trouvées sur l’application de vidéoconférence Zoom qui pourrait permettre à des attaquants distants de pénétrer le système de tout participant à un appel de groupe. En effet, un utilisateur malveillant distant et authentifié avec de faibles privilèges pourrait potentiellement exploiter la faille iDRAC en manipulant les paramètres d’entrée pour obtenir un accès en lecture non autorisé aux fichiers arbitraires, a averti Dell EMC dans son avis.

hp

iDRAC est conçu pour permettre aux administrateurs informatiques de déployer, mettre à jour, surveiller et entretenir à distance les serveurs Dell sans installer de nouveau logiciel. Dell a déjà distribué une mise à jour du micrologiciel iDRAC qui corrige la faille et recommande aux clients de mettre à jour dès que possible.

La vulnérabilité ne peut être exploitée que si l’iDRAC est connecté à Internet, ce que l’EMC de Dell ne recommande pas, selon les chercheurs. IDRAC est également une technologie relativement nouvelle dans les serveurs Dell EMC, ce qui signifie qu’elle n’est peut-être pas encore largement utilisée.

Pourtant, les chercheurs ont déclaré que les moteurs de recherche publics avaient déjà découvert plusieurs connexions accessibles par Internet à iDRAC qui pourraient être exploitées, ainsi que 500 contrôleurs disponibles pour l’accès via SNMP.

dell

Le contrôleur iDRAC est utilisé par les administrateurs réseau pour gérer les serveurs clés, «fonctionnant efficacement comme un ordinateur séparé à l’intérieur du serveur lui-même», a expliqué Kiguradze dans un communiqué de presse.

«IDRAC fonctionne sous Linux, bien que dans une configuration limitée, et dispose d’un système de fichiers à part entière», a-t-il déclaré. «Cette vulnérabilité permet de lire n’importe quel fichier du système d’exploitation du contrôleur et, dans certains cas, d’interférer avec le fonctionnement du contrôleur, par exemple lors de la lecture de périphériques Linux symboliques tels que /dev/urandom.»

Les pirates peuvent exploiter la faille en externe en obtenant la sauvegarde d’un utilisateur privilégié ou s’ils ont des informations d’identification ou utiliser la force brute, a déclaré Kiguradze. Ils pourraient également utiliser le compte d’un administrateur junior avec un accès limité au serveur pour exploiter la faille en interne, a-t-il déclaré. Une fois qu’un attaquant prend le contrôle, il ou elle peut bloquer ou perturber de l’extérieur le fonctionnement du serveur.

Comment protéger ses serveurs Dell?

Pour mieux sécuriser les serveurs Dell qui utilisent iDRAC, les chercheurs ont recommandé aux clients de placer iDRAC sur un réseau d’administration distinct et de ne pas connecter le contrôleur à Internet. Les entreprises doivent également isoler le réseau d’administration ou le VLAN (par exemple avec un pare-feu) et limiter l’accès au sous-réseau ou au VLAN aux administrateurs de serveur autorisés uniquement.

D’autres recommandations de Dell EMC pour sécuriser l’iDRAC contre les intrusions incluent l’utilisation du chiffrement 256 bits et TLS 1.2 ou version ultérieure, les options de configuration telles que le filtrage de la plage d’adresses IP et le mode de verrouillage du système; et une authentification supplémentaire telle que Microsoft Active Directory ou LDAP.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x