Aynı üründe üç güvenlik açığının ortaya çıkarılmasından yaklaşık iki ay sonra, AMI MegaRAC Baseboard Management Controller (BMC) yazılımında iki tedarik zinciri güvenlik açığı daha açıklandı.
Firmware güvenlik firması Eclypsium dedim AMI’ye uygun azaltmaları tasarlaması için ek süre sağlamak amacıyla iki eksiklik şimdiye kadar ertelendi.
Sorunlar, toplu olarak şu şekilde izlenir: BMC&Csiber saldırılar için sıçrama tahtası görevi görerek, tehdit aktörlerinin süper kullanıcı izinleriyle uzaktan kod yürütme ve yetkisiz cihaz erişimi elde etmelerini sağlayabilir.
Söz konusu iki yeni kusur şu şekildedir:
- CVE-2022-26872 (CVSS puanı: 8.3) – API aracılığıyla parola sıfırlama müdahalesi
- CVE-2022-40258 (CVSS puanı: 5.3) – Redfish ve API için zayıf parola sağlamaları
Spesifik olarak, MegaRAC’ın eski cihazlar için global bir tuzla MD5 karma algoritmasını kullandığı veya Kullanıcı başına tuzlarla SHA-512 daha yeni cihazlarda, potansiyel olarak bir tehdit aktörünün şifreleri kırmasına izin verir.
Öte yandan CVE-2022-26872, bir kullanıcıyı bir sosyal mühendislik saldırısı yoluyla bir parola sıfırlama başlatması için kandırmak ve rakibin tercihine göre bir parola ayarlamak için bir HTTP API’sinden yararlanır.
CVE-2022-26872 ve CVE-2022-40258, Aralık ayında açıklanan diğer üç güvenlik açığına eklendi: CVE-2022-40259 (CVSS puanı: 9.9), CVE-2022-40242 (CVSS puanı: 8.3) ve CVE-2022-2827 (CVSS puanı: 7.5).
Zayıflıkların yalnızca BMC’lerin internete maruz kaldığı senaryolarda veya tehdit aktörünün başka yöntemlerle bir veri merkezine veya yönetim ağına ilk erişimi elde ettiği durumlarda kullanılabileceğini belirtmekte fayda var.
BMC&C’nin patlama yarıçapı şu anda bilinmiyor, ancak Eclypsium, etkilenen ürün ve hizmetlerin kapsamını belirlemek için AMI ve diğer taraflarla birlikte çalıştığını söyledi.
Gigabyte, Hewlett Packard Enterprise, Intel ve Lenovo, cihazlarındaki güvenlik kusurlarını gidermek için güncellemeler yayınladı. NVIDIA beklenen Mayıs 2023’te bir düzeltme göndermek için.
Eclypsium, “Bu güvenlik açıklarından yararlanmanın etkisi, güvenliği ihlal edilmiş sunucuların uzaktan kontrolü, kötü amaçlı yazılımların uzaktan konuşlandırılması, fidye yazılımı ve sabit yazılım implantları ve sunucu fiziksel hasarını (tuğla kurma) içerir.”