American Megatrends’te (AMI) üç farklı güvenlik açığı açıklandı MegaRAC Güvenlik açığı bulunan sunucularda uzaktan kod yürütülmesine yol açabilecek Anakart Yönetim Denetleyicisi (BMC) yazılımı.
Ürün yazılımı ve donanım güvenlik şirketi Eclypsium, “Bu güvenlik açıklarından yararlanmanın etkileri arasında, güvenliği ihlal edilmiş sunucuların uzaktan kontrolü, kötü amaçlı yazılımların uzaktan dağıtımı, fidye yazılımı ve ürün yazılımı implantları ve sunucu fiziksel hasarı (tuğlalama) yer alır.” söz konusu The Hacker News ile paylaşılan bir raporda.
BMC’ler, makinenin kapalı olduğu senaryolarda bile düşük seviyeli donanım ayarlarını kontrol etmek ve ana bilgisayar işletim sistemini yönetmek için kullanılan, sunucular içindeki ayrıcalıklı bağımsız sistemlerdir.
Bu yetenekler, BMC’leri, işletim sistemi yeniden yüklemelerinden ve sabit sürücü değiştirmelerinden sağ çıkabilen cihazlara kalıcı kötü amaçlı yazılım yerleştirmek isteyen tehdit aktörleri için cazip bir hedef haline getiriyor.
Toplu olarak adlandırılan BMC&Cyeni tanımlanan sorunlar, uzaktan yönetim arabirimlerine erişimi olan saldırganlar tarafından kullanılabilir (IPMI) gibi Kırmızı balıkpotansiyel olarak rakiplerin sistemlerin kontrolünü ele geçirmesine ve bulut altyapılarını riske atmasına olanak tanır.
Sorunlar arasında en ciddi olanı, saldırganın cihazda zaten minimum düzeyde erişime sahip olmasını gerektiren Redfish API aracılığıyla rastgele kod yürütme durumu olan CVE-2022-40259’dur (CVSS puanı: 9.9).Geri arama ayrıcalıkları veya daha yüksek).
CVE-2022-40242 (CVSS puanı: 8.3), bir sysadmin kullanıcısı için, idari kabuk erişimi elde etmek için kırılabilen ve kötüye kullanılabilen bir hash ile ilgilidir; CVE-2022-2827 (CVSS puanı: 7.5), parola sıfırlamada bir hatadır Belirli bir kullanıcı adına sahip bir hesabın var olup olmadığını belirlemek için kullanılabilen özellik.
“[CVE-2022-2827] önceden var olan kullanıcıların yerini belirlemeye izin verir ve bir kabuğa yönlendirmez, ancak bir saldırgana kaba kuvvet veya kimlik bilgisi doldurma saldırıları için bir hedef listesi sağlar” dedi.
Bulgular, ürün yazılımı tedarik zincirini güvence altına almanın ve BMC sistemlerinin doğrudan internete maruz kalmamasını sağlamanın önemini bir kez daha vurgulamaktadır.
Şirket, “Veri merkezleri belirli donanım platformlarında standartlaşma eğiliminde olduğundan, BMC düzeyindeki herhangi bir güvenlik açığı büyük olasılıkla çok sayıda cihaz için geçerli olacak ve potansiyel olarak tüm bir veri merkezini ve sunduğu hizmetleri etkileyebilir” dedi.
Bulgular Binarly’nin açıkladığı gibi geliyor çoklu yüksek etkili güvenlik açıkları AMI tabanlı cihazlarda, erken önyükleme aşamalarında (örn. EFI öncesi bir ortam) bellek bozulmasına ve rastgele kod yürütülmesine neden olabilir.
Bu Mayıs ayının başlarında Eclypsium, Quanta Bulut Teknolojisi (QCT) sunucularını etkileyen ve başarılı bir şekilde kullanılması saldırganlara cihazlar üzerinde tam kontrol sağlayabilecek “Pantsdown” BMC kusurunu da ortaya çıkardı.