偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

高危 AMI MegaRAC 漏洞影響 AMD、ARM、HPE、Dell 等眾多服務(wù)器

安全
Eclypsium的研究人員發(fā)現(xiàn)美國 Megatrends MegaRAC基板管理控制器(BMC)軟件中存在三個漏洞。

Bleeping Computer 網(wǎng)站披露,Eclypsium 的研究人員發(fā)現(xiàn)美國 Megatrends  MegaRAC 基板管理控制器(BMC)軟件中存在三個漏洞,這些漏洞影響許多云服務(wù)和數(shù)據(jù)中心運營商使用的服務(wù)器設(shè)備。

1670298330_638ebada3150f97d09ea3.jpg!small?1670298330543

據(jù)悉,研究人員在檢查泄露的美國 Megatrends專有代碼,以及 MegaRAC BMC 固件后發(fā)現(xiàn)了這些漏洞,某些條件下,攻擊者一旦成功利用漏洞,便可以執(zhí)行任意代碼、并繞過身份驗證,執(zhí)行用戶枚舉。

MegaRAC BMC 作為一個遠(yuǎn)程系統(tǒng)管理解決方案,允許管理員像站在設(shè)備前面一樣遠(yuǎn)程排除服務(wù)器故障。目前, MegaRAC BMC 固件至少有 15 家服務(wù)器制造商使用,其中主要包括 AMD、Ampere Computing、ASRock、華碩、ARM、Dell EMC、Gigabyte、Hewlett-Packard Enterprise、華為、浪潮、聯(lián)想、英偉達、高通、Quanta 和 Tyan 等。

漏洞詳細(xì)信息:

Eclypsium 發(fā)現(xiàn)并向美國 Megatrends 和受影響供應(yīng)商報告的三個漏洞如下:

  • CVE-2022-40259(CVSS v3.1評分:9.9“嚴(yán)重”)Redfish API 存在任意代碼執(zhí)行缺陷。
  • CVE-2022-40242(CVSS v3.1評分:8.3“高”):sysadmin 用戶的默認(rèn)憑據(jù),允許攻擊者建立管理 shell。
  • CVE-2022-2827(CVSS v3.1評分:7.5“高”),請求操作漏洞,允許攻擊者枚舉用戶名并確定帳戶是否存在。

這三個漏洞中最嚴(yán)重的一個漏洞是 CVE-2022-40259,盡管它需要事先訪問至少一個低特權(quán)帳戶才能執(zhí)行 API回調(diào)。

漏洞產(chǎn)生的影響

CVE-2022-40259 和 CVE-2022-40242 這兩個漏洞非常嚴(yán)重,因為攻擊者可以利用它們無需進一步升級,即可訪問管理外殼。一旦攻擊者成功利用了這些漏洞,可能會引起數(shù)據(jù)操縱、數(shù)據(jù)泄露、服務(wù)中斷、業(yè)務(wù)中斷等。

Eclypsium 在報告中強調(diào),由于數(shù)據(jù)中心傾向于在特定硬件平臺上實現(xiàn)標(biāo)準(zhǔn)化,任何 BMC 級別的漏洞都很可能適用于大量設(shè)備,并可能影響整個數(shù)據(jù)中心及其提供的服務(wù)。

更糟糕的是,服務(wù)器組件上托管和云提供商的標(biāo)準(zhǔn)化意味著這些漏洞可以輕易影響數(shù)十萬,甚至數(shù)百萬系統(tǒng)。因此,建議系統(tǒng)管理員立刻禁用遠(yuǎn)程管理選項,并在可能的情況下添加遠(yuǎn)程身份驗證步驟。

此外,管理員應(yīng)盡量減少 Redfish 等服務(wù)器管理界面的外部暴露,并確保所有系統(tǒng)上都安裝了最新的可用固件更新。

參考文章:https://www.bleepingcomputer.com/news/security/severe-ami-megarac-flaws-impact-servers-from-amd-arm-hpe-dell-others/

責(zé)任編輯:趙寧寧 來源: FreeBuf.COM
相關(guān)推薦

2023-08-11 09:10:07

2010-09-13 09:58:49

DELLC系列服務(wù)器AMD

2012-06-05 11:39:09

ARM服務(wù)器Marvell

2013-06-03 09:58:33

2010-05-19 10:06:54

多核ARMARM服務(wù)器

2012-10-30 10:02:14

AMDARM處理器

2012-11-02 11:36:20

AMDARM服務(wù)器處理器

2023-11-16 13:58:12

2012-11-06 10:15:35

2012-11-09 09:53:19

AMD三星ARM服務(wù)器

2012-05-30 10:11:13

DellARM服務(wù)器

2016-11-08 19:44:08

2021-05-07 15:04:54

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2010-09-03 10:27:30

AMDARM

2020-10-05 21:41:58

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2024-02-20 14:18:13

2023-04-04 22:20:53

2022-05-30 12:50:12

微軟Android漏洞

2014-11-14 10:24:24

2023-07-22 00:08:16

點贊
收藏

51CTO技術(shù)棧公眾號