Bugün yayınlanan yeni araştırmaya göre, Quanta Cloud Technology (QCT) sunucularının ciddi “Pantsdown” Baseboard Management Controller (BMC) hatasına karşı savunmasız olduğu belirlendi.
Güvenlik açığı bulunan bir QCT sunucusunda kod çalıştıran bir saldırgan, sunucu ana bilgisayarından BMC’ye “atlayabilir” ve saldırılarını sunucu yönetim ağına taşıyabilir, muhtemelen devam edebilir ve ağdaki diğer BMC’ler için daha fazla izin alabilir ve bunu yaparak diğer sunuculara erişim,” üretici yazılımı ve donanım güvenlik firması Eclypsium dedim.
Temel kart yönetim denetleyicisi, düşük seviyeli donanım ayarlarının kontrol edilmesinin yanı sıra bellenim ve yazılım güncellemelerinin yüklenmesi de dahil olmak üzere sunucuların uzaktan izlenmesi ve yönetimi için kullanılan özel bir sistemdir.
olarak izlendi CVE-2019-6260 (CVSS puanı: 9.8), kritik güvenlik açığı Ocak 2019’da gün ışığına çıktı ve BMC’nin fiziksel adres alanına rastgele bir okuma ve yazma erişimi durumuyla ilgili olup, rastgele kod yürütülmesine neden olur.
Güvenlik açığından başarılı bir şekilde yararlanılması, bir tehdit aktörüne sunucu üzerinde tam denetim sağlayarak, BMC ürün yazılımının üzerine kötü amaçlı kod yazılmasını, kalıcı kötü amaçlı yazılımları dağıtmasını, verileri sızdırmasını ve hatta sistemi engellemesini mümkün kılabilir.
Etkilenen QCT sunucu modelleri arasında D52BQ-2U, D52BQ-2U 3UPI, D52BV-2U bulunur ve bunlar, BMC yazılımının bir sürümünü çalıştıran BMC sürüm 4.55.00 ile birlikte gelir.
Pantolon aşağı. 7 Ekim 2021’deki sorumlu açıklamanın ardından, 15 Nisan’da müşterilere özel olarak bir yama sunuldu.
Üç yıllık bir zayıflığın hala var olmaya devam etmesi, üretici yazılımı düzeyinde kodun güncellemeleri uygulamak zamanında ve potansiyel güvenlik ihlali göstergeleri için bellenimi düzenli olarak tarayın.
Ürün yazılımı güvenliği, BMC gibi bileşenlerin, iLOBleed gibi gizli kötü amaçlı yazılımları yerleştirmeyi amaçlayan siber saldırıların kazançlı bir hedefi olarak ortaya çıktığı gerçeği ışığında özellikle önemlidir. tasarlanmış kurban bir sunucunun disklerini tamamen silmek için.
Bu tür riskleri azaltmak için, QCT ürünlerine güvenen kuruluşların BMC ürün yazılımının bütünlüğünü doğrulamaları ve düzeltmeler kullanılabilir olduğunda ve olduğunda bileşeni en son sürüme güncellemeleri gerektiği hatırlatılır.
Şirket, “Rakipler, aygıt yazılımı düzeyinde saldırılar konusunda giderek daha rahat hale geliyor” dedi. “Unutulmaması gereken önemli nokta, aygıt yazılımı düzeyindeki açıklardan yararlanma bilgilerinin yıllar içinde nasıl arttığıdır: 2019’da zor olan şey bugün neredeyse önemsizdir.”