Cette faille d'une gravité exceptionnelle permet de prendre le contrôle total de milliers de serveurs dans le monde

Par Chloé Claessens, Spécialiste cybersécurité.

Publié le 27 juin 2025 à 14h53

Une vulnérabilité hautement critique, activement exploitée, donne un contrôle total sur les serveurs via le BMC, ce composant qui permet de les gérer à distance, même éteints.

Cette faille d'une gravité exceptionnelle permet de prendre le contrôle total de milliers de serveurs dans le monde. © Nerza / Shutterstock

L'info en 3 points

Une faille critique dans le BMC permet aux hackers de contrôler des serveurs à distance, même éteints.
La vulnérabilité CVE-2024-54085, exploitée activement, touche de nombreux serveurs utilisant le firmware AMI MegaRAC.
Des correctifs sont disponibles, mais chaque administrateur doit vérifier et appliquer les mises à jour nécessaires.

Depuis plusieurs mois, une faille critique, notée 10 sur l’échelle CVSS, permet à des attaquants de prendre la main sur des milliers de serveurs à travers le monde – sans identifiants, sans alerte, et même si la machine est hors tension. Non, ce n’est pas de la science-fiction, mais bien une réalité désormais confirmée par l’agence américaine de cybersécurité (CISA), qui vient d’ajouter la vulnérabilité CVE-2024-54085 à sa liste des failles activement exploitées. En jeu, un accès privilégié à l’infrastructure des serveurs, rendu possible par un composant peu connu du grand public : le BMC.

Un contrôleur vous échappe, et c’est toute l’infrastructure qui tombe

Dans le détail, la faille touche le firmware MegaRAC d'AMI, largement utilisé dans les contrôleurs BMC (Baseboard Management Controller). Ces composants, intégrés aux cartes mères de nombreux serveurs – chez AMD, ARM, Fujitsu, Gigabyte, Supermicro, Qualcomm ou encore Nvidia, notamment – permettent aux administrateurs et administratrices système de gérer des flottes entières à distance : redémarrage, mise à jour, réinstallation du système d’exploitation, modification de la configuration… même si l’équipement est éteint ou que l’OS n’est pas opérationnel.

Une fonctionnalité pratique, mais aussi une cible de choix. Car une fois ce composant compromis, l’attaquant peut non seulement prendre le contrôle total du serveur, mais aussi se déplacer vers d’autres équipements du réseau si l’environnement n’est pas cloisonné, et ainsi compromettre progressivement l’ensemble de l’infrastructure.

Identifiée par la société Eclypsium et signalée dès mars 2025, CVE-2024-54085 permet à un attaquant de contourner l’authentification en envoyant une simple requête HTTP au BMC vulnérable. Il peut alors créer un compte administrateur sans fournir d’identifiants. Une démonstration d’attaque avait été présentée en guise de preuve de concept par les chercheurs à l’origine de la découverte, qui précisaient alors qu’aucune exploitation active n’avait encore été observée.

Mais ce n’est officiellement plus le cas. Ce mercredi 25 juin, la CISA a confirmé que la vulnérabilité était désormais exploitée dans des attaques réelles. Aucun détail public n’a été communiqué sur les cibles ou les méthodes, mais les soupçons se portent sur des groupes de cyberespionnage étatiques. Eclypsium évoque notamment plusieurs APT chinois connus pour cibler les firmwares et viser des infrastructures sensibles.

Plus de 1 000 serveurs exposant une interface BMC MegaRAC SP-X ont été identifiés en ligne, répartis dans plusieurs pays, dont les États-Unis, la Chine, l’Allemagne, la Corée du Sud, mais aussi la France. © Eclypsium

Des milliers de serveurs potentiellement concernés

Si cette vulnérabilité suscite autant d’inquiétude, c’est parce qu’elle dépasse largement le cadre d’un piratage classique. Une fois un BMC compromis, les possibilités pour un attaquant sont nombreuses, graves et particulièrement difficiles à contrer :

Injection directe de code malveillant dans le firmware, difficile à détecter et résistant aux réinstallations système ou aux changements de disque ;

Contrôle total du serveur à distance, y compris son démarrage, son arrêt ou sa reconfiguration, quel que soit l’état de l’OS ;

Contournement des outils de sécurité, puisque le BMC opère en dehors du système d’exploitation ;

Récupération d’identifiants sensibles stockés localement, et possibilité de mouvement latéral dans le réseau ;

Espionnage passif, via la mémoire système ou les interfaces réseau du serveur, et exfiltration de données sensibles ;

Sabotage par corruption du firmware, rendant le serveur inutilisable.

Autrement dit, un attaquant qui s’engouffre dans la brèche peut non seulement établir une présence furtive et persistante, mais aussi transformer un BMC compromis en tête de pont pour étendre son emprise à l’ensemble de l’infrastructure.

Selon Eclypsium, la faille affecte une large gamme de produits utilisant l’interface Redfish de MegaRAC. Sont notamment concernés les parcs de serveurs équipés de cartes mères fournies ou configurées par AMD, ARM, Ampere Computing, ASRock, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro ou encore Qualcomm.

Certains constructeurs ont déjà publié des correctifs, après avoir intégré les mises à jour fournies en amont par AMI. Mais vu l’hétérogénéité des environnements menacés, il appartient à chaque administrateur ou administratrice de vérifier l’état des BMC déployés sur leurs serveurs, et de consulter leur fabricant pour confirmer la disponibilité d’un patch adapté à leur matériel.

Sources : CISA, Eclypsium, Ars Technica

À découvrir

Meilleur antivirus, le comparatif en juillet 2025

27 juin 2025 à 09h45

Comparatifs services

Par Chloé Claessens

Spécialiste cybersécurité

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (9)

Baxter_X

Il s’agit des interfaces permettant de gérer un serveur sans y avoir un accès physique tel que IDRAC, Lilo, Intel AMT. Donc rien d’étonnant qu’ils permettent de controler un serveur meme éteint car c’est une interface « adossée » à un serveur.
Elle n’en reste pas moins importante, mais il faut avoir accès au réseau gérant ces interfaces. Ce qui n’est pas aussi simple que ce qui est décrit dans l’article.

Etre_Libre

Même avis.
Je gère des serveurs HPE, qui ont l’interface ILO ; mais jamais d’accès extérieur.
Uniquement en local ou via VPN, et mot de passe par défaut changé ; mise à jour firmware ILO très fréquent.

Mimi9

Si le travail est bien fait en amont, les accès sont filtrés / isolés / monitorés au niveau firewall

louchi

Ok tu vis chez les bisounours ou en 14.02 ?

Kriz4liD

Non, il se peux aussi avec une faille quelque part arriver à outrepasser ce cloisonnement…
Il n’ y a jamais de risque zéro.

Baxter_X

Le risque zéro n’'existe pas mais ces mesures permettent de très grandmement réduire le risque.

Baxter_X

Il vit dans le monde réel, rien de plus.

saerdryl

Des administrateurs et des administratrices ??? En informatique on directement des admins ou des administrateurs peut importe le sexe de l admin. .

Allez faire un tour dans les data center…

Laurent_Marandet

C’est pareil avec certains outils de gestion VMWare qui sont exposés à l’internet alors qu’ils ne devraient jamais l’être. A part en housing, le locataire d’un serveur dédié n’a pas son propre routeur pour protéger son système, sauf s’il a une machine virtuelle à cet usage. Du coup, il sécurise son serveur par le firewall de l’OS (pas terrible s’il s’agit de Windows) et ce firewall logiciel ne joue que sur l’OS du serveur et pas du tout sur la carte de remote accesse (Idrac ou ILO), qui est indépendante.

Dans le même genre, je suis stupéfait qu’OVH propose encore du FTP (notoirement insecure car aucun chiffrage des données ni du mot de passe) pour les hébergements de sites Wordpress et que les webmaster réclament çà au lieu de passer en SFTP.