9 failles dans les boitiers KVM IP menacent vos serveurs

Neuf failles dans des boîtiers qui contrôlent vos serveurs

Des chercheurs en cybersécurité de la société Eclypsium viennent de révéler neuf failles de sécurité dans des boîtiers utilisés par des entreprises du monde entier pour administrer leurs serveurs à distance. Certaines de ces failles permettent de prendre le contrôle total d'une machine sans connaître le moindre mot de passe.

Un KVM IP, c'est quoi exactement ?

Imaginez que vous devez intervenir sur un serveur situé dans un datacenter à des centaines de kilomètres. Pas question de vous déplacer juste pour brancher un clavier et un écran. C'est là qu'intervient le KVM IP (pour Keyboard, Video, Mouse, soit clavier, vidéo, souris).

Ce petit boîtier se branche sur le serveur et vous donne un accès complet à distance, comme si vous étiez assis devant la machine. Vous voyez l'écran, vous tapez au clavier, vous bougez la souris.

Ce qui rend ces boîtiers à la fois utiles et dangereux : ils fonctionnent en dessous du système d'exploitation. Même si Windows ou Linux plante, le KVM IP continue de répondre. Pour les administrateurs système, c'est un outil du quotidien. Pour les pirates, une cible de choix.

Ce que permettent ces failles

Quatre marques sont touchées : GL-iNet Comet, JetKVM, Sipeed NanoKVM et Angeet ES3. Les vulnérabilités découvertes permettent, selon leur gravité, de se connecter au boîtier sans mot de passe, d'exécuter des commandes avec tous les droits administrateur (ce qu'on appelle un accès "root"), de modifier le logiciel interne du boîtier pour y installer un programme malveillant persistant, ou encore d'accéder au BIOS du serveur (le programme qui se lance avant le système d'exploitation) pour en modifier le comportement.

La faille la plus critique concerne l'Angeet ES3 : notée 9,8 sur 10 en gravité, elle permet d'exécuter n'importe quelle commande sur le boîtier, à distance, sans la moindre authentification. Et pour l'instant, aucun correctif n'existe pour ce produit.

Une seconde faille sur le même appareil (score 8,8/10) permet d'injecter des commandes système via l'interface web. Là non plus, pas de mise à jour prévue.

Les correctifs disponibles

GL-iNet a publié une version bêta (1.8.1) qui corrige deux de ses quatre failles sur le Comet RM-1. JetKVM a déployé un correctif en version 0.5.4. Sipeed a mis à jour le NanoKVM en version 2.3.1.

Pour l'Angeet ES3 : rien. Aucune mise à jour, aucun calendrier annoncé. Si vous utilisez cet appareil, le remplacer est la seule option raisonnable.

Comment se protéger

Si vous utilisez un de ces boîtiers, ou un KVM IP en général, voici les gestes à appliquer.

Mettez à jour le logiciel interne (firmware) de vos boîtiers dès qu'un correctif sort.

Ne connectez jamais un KVM IP directement à internet. Placez-le sur un réseau séparé, réservé à l'administration des serveurs, et utilisez un VPN pour y accéder à distance.

Activez la double authentification (MFA, pour Multi-Factor Authentication) si votre appareil le propose.

Vérifiez avec des outils comme Shodan que vos boîtiers ne sont pas visibles depuis l'extérieur.

Pourquoi c'est préoccupant

Les chercheurs d'Eclypsium sont catégoriques : ces failles ne sont pas des bugs subtils. Ce sont des manquements basiques. Pas de vérification des mises à jour, pas de limite sur les tentatives de mot de passe, des interfaces de débogage laissées ouvertes.

Des milliers de ces boîtiers sont déployés dans des entreprises et des datacenters. Chacun est une porte d'entrée directe vers les serveurs qu'il contrôle. Les antivirus installés sur le serveur ne voient pas ce qui se passe au niveau du KVM.