高危 AMI MegaRAC 漏洞影響 AMD、ARM、HPE、Dell 等眾多服務(wù)器
Bleeping Computer 網(wǎng)站披露,Eclypsium 的研究人員發(fā)現(xiàn)美國(guó) Megatrends MegaRAC 基板管理控制器(BMC)軟件中存在三個(gè)漏洞,這些漏洞影響許多云服務(wù)和數(shù)據(jù)中心運(yùn)營(yíng)商使用的服務(wù)器設(shè)備。
據(jù)悉,研究人員在檢查泄露的美國(guó) Megatrends專有代碼,以及 MegaRAC BMC 固件后發(fā)現(xiàn)了這些漏洞,某些條件下,攻擊者一旦成功利用漏洞,便可以執(zhí)行任意代碼、并繞過身份驗(yàn)證,執(zhí)行用戶枚舉。
MegaRAC BMC 作為一個(gè)遠(yuǎn)程系統(tǒng)管理解決方案,允許管理員像站在設(shè)備前面一樣遠(yuǎn)程排除服務(wù)器故障。目前, MegaRAC BMC 固件至少有 15 家服務(wù)器制造商使用,其中主要包括 AMD、Ampere Computing、ASRock、華碩、ARM、Dell EMC、Gigabyte、Hewlett-Packard Enterprise、華為、浪潮、聯(lián)想、英偉達(dá)、高通、Quanta 和 Tyan 等。
漏洞詳細(xì)信息:
Eclypsium 發(fā)現(xiàn)并向美國(guó) Megatrends 和受影響供應(yīng)商報(bào)告的三個(gè)漏洞如下:
- CVE-2022-40259(CVSS v3.1評(píng)分:9.9“嚴(yán)重”)Redfish API 存在任意代碼執(zhí)行缺陷。
- CVE-2022-40242(CVSS v3.1評(píng)分:8.3“高”):sysadmin 用戶的默認(rèn)憑據(jù),允許攻擊者建立管理 shell。
- CVE-2022-2827(CVSS v3.1評(píng)分:7.5“高”),請(qǐng)求操作漏洞,允許攻擊者枚舉用戶名并確定帳戶是否存在。
這三個(gè)漏洞中最嚴(yán)重的一個(gè)漏洞是 CVE-2022-40259,盡管它需要事先訪問至少一個(gè)低特權(quán)帳戶才能執(zhí)行 API回調(diào)。
漏洞產(chǎn)生的影響
CVE-2022-40259 和 CVE-2022-40242 這兩個(gè)漏洞非常嚴(yán)重,因?yàn)楣粽呖梢岳盟鼈儫o需進(jìn)一步升級(jí),即可訪問管理外殼。一旦攻擊者成功利用了這些漏洞,可能會(huì)引起數(shù)據(jù)操縱、數(shù)據(jù)泄露、服務(wù)中斷、業(yè)務(wù)中斷等。
Eclypsium 在報(bào)告中強(qiáng)調(diào),由于數(shù)據(jù)中心傾向于在特定硬件平臺(tái)上實(shí)現(xiàn)標(biāo)準(zhǔn)化,任何 BMC 級(jí)別的漏洞都很可能適用于大量設(shè)備,并可能影響整個(gè)數(shù)據(jù)中心及其提供的服務(wù)。
更糟糕的是,服務(wù)器組件上托管和云提供商的標(biāo)準(zhǔn)化意味著這些漏洞可以輕易影響數(shù)十萬,甚至數(shù)百萬系統(tǒng)。因此,建議系統(tǒng)管理員立刻禁用遠(yuǎn)程管理選項(xiàng),并在可能的情況下添加遠(yuǎn)程身份驗(yàn)證步驟。
此外,管理員應(yīng)盡量減少 Redfish 等服務(wù)器管理界面的外部暴露,并確保所有系統(tǒng)上都安裝了最新的可用固件更新。
參考文章:https://www.bleepingcomputer.com/news/security/severe-ami-megarac-flaws-impact-servers-from-amd-arm-hpe-dell-others/