В центре внимания снова серверные решения AMI MegaRAC BMC.
Программное обеспечение AMI MegaRAC Baseboard Management Controller (BMC) используется системными администраторами для удалённого доступа к серверному оборудованию. Пару месяцев назад специалисты по безопасности обнаружили в нём 3 серьёзных уязвимости. Теперь найдено ещё 2 новые уязвимости.
Компания по обеспечению безопасности микропрограммного обеспечения заявила , что American Megatrends давно в курсе проблемы. Огласке уязвимости решили придать только сейчас, чтобы дать инженерам компании дополнительное время для их устранения.
Данные уязвимости могут послужить трамплином для кибератак, так как позволяют злоумышленникам удаленно выполнять код и получать несанкционированный доступ к устройствам с правами суперпользователя.
Суть уязвимостей заключается в следующем:
- CVE-2022-26872 (оценка CVSS: 8.3) — перехват сброса пароля через API;
- CVE-2022-40258 (оценка CVSS: 5.3) — слабые хэши паролей для Redfish и API.
Также было обнаружено, что MegaRAC использует алгоритм хеширования MD5 с со статичной солью для старых устройств и SHA-512 с динамической солью для новых устройств. Несмотря на то, что «соление паролей» является достаточно надёжной мерой укрепления безопасности, пароли и хэши всё равно могут быть подобраны хакерами, эксплуатирующими вышеприведённые уязвимости.
CVE-2022-26872 и CVE-2022-40258 дополняют три другие уязвимости, обнаруженные в декабре, в том числе CVE-2022-40259 (оценка CVSS: 9,9), CVE-2022-40242 (оценка CVSS: 8,3) и CVE-2022-2827 (оценка CVSS: 7,5).
Стоит отметить, что эти уязвимости можно использовать только в сценариях, когда BMC подключены к Интернету, или в случаях, когда злоумышленник уже получил первоначальный доступ к центру обработки данных или к административной сети другими способами.
Gigabyte, Hewlett Packard Enterprise, Intel и Lenovo выпустили обновления для устранения дефектов безопасности в своих устройствах. Ожидается, что NVIDIA выпустит исправление в мае 2023 года.
«Последствия использования этих уязвимостей включают удаленное управление скомпрометированными серверами, удаленное развертывание вредоносных программ, программ-вымогателей и имплантатов встроенного программного обеспечения, а также физическое повреждение сервера», — отметили в Eclypsium.
