Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: AMI MegaRAC BMC Yazılımında Ortaya Çıkan Ek Tedarik Zinciri Güvenlik Açıkları
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » AMI MegaRAC BMC Yazılımında Ortaya Çıkan Ek Tedarik Zinciri Güvenlik Açıkları

GenelSiber Güvenlik

AMI MegaRAC BMC Yazılımında Ortaya Çıkan Ek Tedarik Zinciri Güvenlik Açıkları

teknomers
Son güncelleme: 1 Şubat 2023 07:55
teknomers
Paylaş
Paylaş


01 Şubat 2023Ravie LakshmananSunucu ve Bulut Güvenliği

Aynı üründe üç güvenlik açığının ortaya çıkarılmasından yaklaşık iki ay sonra, AMI MegaRAC Baseboard Management Controller (BMC) yazılımında iki tedarik zinciri güvenlik açığı daha açıklandı.

Firmware güvenlik firması Eclypsium dedim AMI’ye uygun azaltmaları tasarlaması için ek süre sağlamak amacıyla iki eksiklik şimdiye kadar ertelendi.

Sorunlar, toplu olarak şu şekilde izlenir: BMC&Csiber saldırılar için sıçrama tahtası görevi görerek, tehdit aktörlerinin süper kullanıcı izinleriyle uzaktan kod yürütme ve yetkisiz cihaz erişimi elde etmelerini sağlayabilir.

Söz konusu iki yeni kusur şu şekildedir:

  • CVE-2022-26872 (CVSS puanı: 8.3) – ​​API aracılığıyla parola sıfırlama müdahalesi
  • CVE-2022-40258 (CVSS puanı: 5.3) – Redfish ve API için zayıf parola sağlamaları

Spesifik olarak, MegaRAC’ın eski cihazlar için global bir tuzla MD5 karma algoritmasını kullandığı veya Kullanıcı başına tuzlarla SHA-512 daha yeni cihazlarda, potansiyel olarak bir tehdit aktörünün şifreleri kırmasına izin verir.

Öte yandan CVE-2022-26872, bir kullanıcıyı bir sosyal mühendislik saldırısı yoluyla bir parola sıfırlama başlatması için kandırmak ve rakibin tercihine göre bir parola ayarlamak için bir HTTP API’sinden yararlanır.

CVE-2022-26872 ve CVE-2022-40258, Aralık ayında açıklanan diğer üç güvenlik açığına eklendi: CVE-2022-40259 (CVSS puanı: 9.9), CVE-2022-40242 (CVSS puanı: 8.3) ve CVE-2022-2827 (CVSS puanı: 7.5).

Zayıflıkların yalnızca BMC’lerin internete maruz kaldığı senaryolarda veya tehdit aktörünün başka yöntemlerle bir veri merkezine veya yönetim ağına ilk erişimi elde ettiği durumlarda kullanılabileceğini belirtmekte fayda var.

BMC&C’nin patlama yarıçapı şu anda bilinmiyor, ancak Eclypsium, etkilenen ürün ve hizmetlerin kapsamını belirlemek için AMI ve diğer taraflarla birlikte çalıştığını söyledi.

Gigabyte, Hewlett Packard Enterprise, Intel ve Lenovo, cihazlarındaki güvenlik kusurlarını gidermek için güncellemeler yayınladı. NVIDIA beklenen Mayıs 2023’te bir düzeltme göndermek için.

Eclypsium, “Bu güvenlik açıklarından yararlanmanın etkisi, güvenliği ihlal edilmiş sunucuların uzaktan kontrolü, kötü amaçlı yazılımların uzaktan konuşlandırılması, fidye yazılımı ve sabit yazılım implantları ve sunucu fiziksel hasarını (tuğla kurma) içerir.”



siber-2

YouTube Shorts yakında iPad ve Android tabletlere geliyor
NYT Strands bugün: 26 Mayıs Pazar için ipuçları, spangram ve cevaplar
Netflix Uyarlamasından Önce Orijinal Global WEBTOON Sensation Bloodhounds’u Okuyun
Dungeons of Hinterberg incelemesi – karanlık bir tarafı olan çarpıcı bir macera
2023 Subaru Crosstrek dört tekerlekten çekiş tanıtıldı
ETİKETLENDİ:Açıklarıağ güvenliğiAmibilgi Güvenliğibilgisayar Güvenliğibilgisayar korsanı haberleribmcÇıkanfidye yazılımı kötü amaçlı yazılımgüvenlikhack haberlerihacker haberleriMegaRACNasıl heklenirortayasiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılartedarikveri ihlaliyazılım güvenlik açığıYazılımındaZinciri
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale OnePlus 11 sahipleri memnun, ancak akıllı telefonun kendisi yetersiz
Sonraki Makale Doktora tezi, Mars’taki toz şeytanlarla ilgili hakim bir algıyı sorguluyor

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Getty’nin Shutterstock Birleşmesi Hayal Oldu
Liste
Anime Card Farm Kodları ile Yeni Maceralara Hazırlanın
Oyun
Acil: AI İle Üretilen Alan Adlarıyla Phishing ve Zararlı Yazılımlar
Siber Güvenlik
Venezuela’daki Depremler Uzay Lazerleriyle Yeraltı Değişikliklerini Gösteriyor
Genel
RAM Krizi Tekelleşmenin Açık Bir Gösterimi, Yeni Dava İddia Ediyor
Oyun
Adobe acil güncelleme: ColdFusion ve Campaign’deki kritik açıklar kapatıldı
Siber Güvenlik
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?