Τρεις ευπάθειες στο λογισμικό American Megatrends MegaRAC Baseboard Management Controller (BMC) επηρεάζουν τον εξοπλισμό διακομιστών που χρησιμοποιείται από πολλούς παρόχους υπηρεσιών cloud και κέντρων δεδομένων.
Δείτε επίσης: Γαλλία: Νοσοκομείο ακύρωσε επεμβάσεις λόγω κυβερνοεπίθεσης
Τον Αύγουστο του 2022, η Eclypsium ανακάλυψε διάφορα σφάλματα που θα μπορούσαν να επιτρέψουν στους εισβολείς, υπό ορισμένες συνθήκες, να εκτελέσουν κώδικα, να παρακάμψουν τον έλεγχο ταυτότητας και να πραγματοποιήσουν user enumeration.
Αφού οι ερευνητές εξέτασαν τον ιδιόκτητο κώδικα της American Megatrends που διέρρευσε, ανακάλυψαν διάφορα ελαττώματα στο firmware MegaRAC BMC.
TikTok: Μήνυση από 13 πολιτείες γιατί βλάπτει τα παιδιά
Τι πρέπει να ελέγξετε πριν σαρώσετε ένα QR code;
Εξερεύνηση του Άρη από ανθρώπους έως το 2035
Με το MegaRAC BMC, μπορείτε να διαχειρίζεστε τους servers σας εξ αποστάσεως χωρίς να χρειάζεται να είστε φυσικά παρόντες. Αυτό είναι ιδιαίτερα χρήσιμο για σκοπούς αντιμετώπισης προβλημάτων.
Ορισμένοι από τους κατασκευαστές server που χρησιμοποιούν το firmware MegaRAC BMC είναι οι AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta και Tyan.
Λεπτομέρειες των τρωτών σημείων
Τα τρία τρωτά σημεία που ανακαλύφθηκαν από το Eclypsium και αναφέρθηκαν στην American Megatrends και στους επηρεασμένους προμηθευτές είναι τα ακόλουθα:
- CVE-2022-40259: Σφάλμα εκτέλεσης αυθαίρετου κώδικα μέσω του Redfish API λόγω ακατάλληλης έκθεσης εντολών στον χρήστη. (Βαθμολογία CVSS v3.1: 9,9 «κρίσιμο»)
- CVE-2022-40242: Προεπιλεγμένα credentials για τον χρήστη sysadmin, που επιτρέπουν στους εισβολείς να δημιουργήσουν administrative shell. (Βαθμολογία CVSS v3.1: 8,3 “υψηλή”)
- CVE-2022-2827: Ελάττωμα request manipulation που επιτρέπει σε έναν εισβολέα να απαριθμήσει ονόματα χρηστών και να προσδιορίσει εάν υπάρχει κάποιος λογαριασμός. (Βαθμολογία CVSS v3.1: 7,5 “υψηλή”)
Το πιο σοβαρό από τα τρία ελαττώματα, το CVE-2022-40259, απαιτεί προηγούμενη πρόσβαση σε τουλάχιστον έναν λογαριασμό χαμηλών προνομίων για την εκτέλεση του API callback.
Σε ότι αφορά το CVE-2022-40242, το μόνο που χρειάζεται να κάνει ένας εισβολέας για να εκμεταλλευτεί το CVE-2022-40242 είναι να έχει απομακρυσμένη πρόσβαση στη συσκευή.
Δείτε επίσης: Το νέο CryWiper malware φαίνεται να είναι ransomware
Αντίκτυπος
Τα δύο πρώτα ελαττώματα είναι πολύ σοβαρά επειδή δίνουν στους εισβολείς πρόσβαση σε ένα administrative shell χωρίς να απαιτείται περαιτέρω κλιμάκωση.
Εάν αυτά τα τρωτά σημεία αξιοποιηθούν με επιτυχία, θα μπορούσαν να προκαλέσουν data manipulation, διακοπές υπηρεσιών, παραβιάσεις δεδομένων και πολλά άλλα.
Παρόλο που το τρίτο ελάττωμα δεν έχει άμεσο αντίκτυπο στην ασφάλεια, θα μπορούσε ενδεχομένως να προκαλέσει ζημιά, καθώς το να γνωρίζεις ποιοι λογαριασμοί υπάρχουν στο στοχευμένο σύστημα δεν αρκεί για να προκαλέσεις οποιαδήποτε ζημιά.
Δείτε επίσης: ΗΠΑ – επιδόματα για COVID-19: Η κινεζική ομάδα APT41 τα έκλεβε
Για την ενίσχυση της ασφάλειας, οι διαχειριστές συστημάτων θα πρέπει να απενεργοποιούν τις επιλογές απομακρυσμένης διαχείρισης και να ενσωματώνουν πρόσθετα βήματα ελέγχου ταυτότητας για την απομακρυσμένη πρόσβαση στα συστήματα.
Επιπλέον, οι διαχειριστές θα πρέπει να ελαχιστοποιούν την εξωτερική έκθεση των server management interfaces όπως το Redfish και να διασφαλίζουν ότι οι πιο πρόσφατες διαθέσιμες ενημερώσεις firmware είναι εγκατεστημένες σε όλα τα συστήματα.
Πηγή πληροφοριών: bleepingcomputer.com