В программном обеспечении American Megatrends (AMI) MegaRAC Baseboard Management Controller (BMC) были обнаружены три различных дефекта безопасности, которые могут привести к удаленному выполнению кода на уязвимых серверах.
«Последствия использования этих уязвимостей включают удаленное управление взломанными серверами, удаленное развертывание вредоносных программ, шифровальщиков или имплантатов прошивки, а также физическое повреждение сервера (bricking)» - сообщается в отчете компании Eclypsium, специализирующейся на защите прошивок и оборудования, который был предоставлен The Hacker News.
BMC - это независимые привилегированные системы в серверах, которые используются для управления низкоуровневыми настройками оборудования и управления операционной системой хоста, даже в сценариях, когда машина выключена.
Эти возможности делают BMC заманчивой целью для хакеров, стремящихся внедрить на устройства постоянное вредоносное ПО, которое может пережить переустановку операционной системы и замену жесткого диска.
Недавно выявленные проблемы, получившие общее название BMC&C, могут быть использованы злоумышленниками, имеющими доступ к интерфейсам удаленного управления (IPMI), таким как Redfish, что потенциально позволяет противникам получить контроль над системами и подвергнуть риску облачные инфраструктуры.
Наиболее серьезной среди проблем является CVE-2022-40259 (CVSS score: 9.9), случай выполнения произвольного кода через API Redfish, требующий от злоумышленника наличия минимального уровня доступа на устройстве (привилегии Callback или выше).
CVE-2022-40242 (CVSS 8.3) относится к хэшу для пользователя sysadmin, который может быть взломан и использован для получения административного доступа к оболочке, а CVE-2022-2827 (CVSS 7.5) представляет собой ошибку в функции сброса пароля, которая может быть использована для определения существования учетной записи с определенным именем пользователя.
«CVE-2022-2827 позволяет точно определить уже существующих пользователей и не ведет в оболочку, но может предоставить злоумышленнику список целей для атак перебором или набиванием учетных данных» - пояснили исследователи.
Находки еще раз подчеркивают важность защиты цепочки поставок микропрограммного обеспечения и обеспечения того, чтобы системы BMC не были напрямую открыты для доступа в Интернет.
«Поскольку центры обработки данных, как правило, стандартизированы на определенных аппаратных платформах, любая уязвимость на уровне BMC, скорее всего, применима к большому количеству устройств и может потенциально повлиять на весь центр обработки данных и предоставляемые им услуги» - заявили в компании.
Новость появилась после того, как компания Binarly раскрыла множество серьезных уязвимостей в устройствах на базе AMI, которые могут привести к повреждению памяти и выполнению произвольного кода на ранних этапах загрузки (т.е. в среде до EFI).
Ранее в мае этого года Eclypsium также обнаружила так называемый дефект «Pantsdown» BMC в серверах Quanta Cloud Technology (QCT), успешная эксплуатация которого может предоставить злоумышленникам полный контроль над устройствами.
Источник: https://thehackernews.com