Bleeping Computer 網(wǎng)站披露，Eclypsium 的研究人員發(fā)現(xiàn)美國 Megatrends  MegaRAC 基板管理控制器（BMC）軟件中存在三個漏洞，這些漏洞影響許多云服務(wù)和數(shù)據(jù)中心運營商使用的服務(wù)器設(shè)備。

據(jù)悉，研究人員在檢查泄露的美國 Megatrends專有代碼，以及 MegaRAC BMC 固件后發(fā)現(xiàn)了這些漏洞，某些條件下，攻擊者一旦成功利用漏洞，便可以執(zhí)行任意代碼、并繞過身份驗證，執(zhí)行用戶枚舉。

MegaRAC BMC 作為一個遠(yuǎn)程系統(tǒng)管理解決方案，允許管理員像站在設(shè)備前面一樣遠(yuǎn)程排除服務(wù)器故障。目前， MegaRAC BMC 固件至少有 15 家服務(wù)器制造商使用，其中主要包括 AMD、Ampere Computing、ASRock、華碩、ARM、Dell EMC、Gigabyte、Hewlett-Packard Enterprise、華為、浪潮、聯(lián)想、英偉達、高通、Quanta 和 Tyan 等。

漏洞詳細(xì)信息：

Eclypsium 發(fā)現(xiàn)并向美國 Megatrends 和受影響供應(yīng)商報告的三個漏洞如下：

• CVE-2022-40259（CVSS v3.1評分：9.9“嚴(yán)重”）Redfish API 存在任意代碼執(zhí)行缺陷。
• CVE-2022-40242（CVSS v3.1評分：8.3“高”）:sysadmin 用戶的默認(rèn)憑據(jù)，允許攻擊者建立管理 shell。
• CVE-2022-2827（CVSS v3.1評分：7.5“高”），請求操作漏洞，允許攻擊者枚舉用戶名并確定帳戶是否存在。

這三個漏洞中最嚴(yán)重的一個漏洞是 CVE-2022-40259，盡管它需要事先訪問至少一個低特權(quán)帳戶才能執(zhí)行 API回調(diào)。

漏洞產(chǎn)生的影響

CVE-2022-40259 和 CVE-2022-40242 這兩個漏洞非常嚴(yán)重，因為攻擊者可以利用它們無需進一步升級，即可訪問管理外殼。一旦攻擊者成功利用了這些漏洞，可能會引起數(shù)據(jù)操縱、數(shù)據(jù)泄露、服務(wù)中斷、業(yè)務(wù)中斷等。

Eclypsium 在報告中強調(diào)，由于數(shù)據(jù)中心傾向于在特定硬件平臺上實現(xiàn)標(biāo)準(zhǔn)化，任何 BMC 級別的漏洞都很可能適用于大量設(shè)備，并可能影響整個數(shù)據(jù)中心及其提供的服務(wù)。

更糟糕的是，服務(wù)器組件上托管和云提供商的標(biāo)準(zhǔn)化意味著這些漏洞可以輕易影響數(shù)十萬，甚至數(shù)百萬系統(tǒng)。因此，建議系統(tǒng)管理員立刻禁用遠(yuǎn)程管理選項，并在可能的情況下添加遠(yuǎn)程身份驗證步驟。

此外，管理員應(yīng)盡量減少 Redfish 等服務(wù)器管理界面的外部暴露，并確保所有系統(tǒng)上都安裝了最新的可用固件更新。

參考文章：https://www.bleepingcomputer.com/news/security/severe-ami-megarac-flaws-impact-servers-from-amd-arm-hpe-dell-others/