American Megatrends MegaRAC Baseboard Management Controller (BMC) 软件中的三个漏洞影响许多云服务和数据中心提供商使用的服务器设备。
Eclypsium 于 2022 年 8 月发现了这些缺陷,攻击者可以在特定条件下执行代码、绕过身份验证和执行用户枚举。
研究人员在检查了 American Megatrends 泄漏的专有代码(特别是 MegaRAC BMC 固件)后发现了这些缺陷
MegaRAC BMC 是一个完整的“带外”和“无人值守”远程系统管理解决方案,允许管理员远程对服务器进行故障排除,就像站在设备前一样。
MegaRAC BMC 固件被至少 15 家服务器制造商使用,包括 AMD、Ampere Computing、ASRock、Asus、ARM、Dell EMC、Gigabyte、Hewlett-Packard Enterprise、Huawei、Inspur、Lenovo、Nvidia、Qualcomm、Quanta 和 Tyan。
漏洞详情
Eclypsium 发现并报告给 American Megatrends 和受影响供应商的三个漏洞如下:
- CVE-2022-40259:由于不正确地向用户公开命令,Redfish API 存在任意代码执行缺陷。(CVSS v3.1 得分:9.9“严重”)
- CVE-2022-40242:系统管理员用户的默认凭据,允许攻击者建立管理外壳。(CVSS v3.1 得分:8.3“高”)
- CVE-2022-2827:请求操作缺陷允许攻击者枚举用户名并确定帐户是否存在。(CVSS v3.1 得分:7.5“高”)
三个漏洞中最严重的漏洞 CVE-2022-40259 需要事先至少访问一个低权限帐户才能执行 API 回调。
Eclypisum 说:“唯一的问题是攻击位于路径参数中,但它不是由框架进行 URL 解码的,因此需要专门设计漏洞利用,使其对每个 URL 和每个 bash shell 命令都有效。”
对于 CVE-2022-40242 的利用,攻击者的唯一先决条件是能够远程访问设备。
影响
前两个漏洞非常严重,因为攻击者无需进一步升级即可访问管理 shell。
如果成功利用这些漏洞,可能会导致数据操纵、数据泄露、服务中断、业务中断等。
第三个缺陷不会对安全产生重大的直接影响,因为知道目标上存在哪些帐户不足以造成任何损害。
但是,它会为暴力破解密码或执行凭据填充攻击开辟道路。
Eclypsium 在报告中评论说:“由于数据中心倾向于在特定硬件平台上标准化,任何 BMC 级别的漏洞很可能适用于大量设备,并可能影响整个数据中心及其提供的服务。 ”
“服务器组件上托管和云提供商的标准化意味着这些漏洞很容易影响数十万甚至数百万个系统。”
建议系统管理员禁用远程管理选项,并尽可能添加远程身份验证步骤。
此外,管理员应尽量减少 Redfish 等服务器管理界面的外部暴露,并确保在所有系统上安装最新可用的固件更新。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 严重的AMI MegaRAC漏洞影响AMD、ARM、HPE戴尔等公司的服务器
