Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Las nuevas vulnerabilidades de la cadena de suministro de BMC afectan a los servidores de docenas de fabricantes
  • Tecnología

Las nuevas vulnerabilidades de la cadena de suministro de BMC afectan a los servidores de docenas de fabricantes

teknomers 5 de Aralık de 2022 (Last updated: 5 de Aralık de 2022) 3 minutes read
Las nuevas vulnerabilidades de la cadena de suministro de BMC


05 de diciembre de 2022Ravie LakshmanánSeguridad del servidor / Tecnología en la nube

Se han revelado tres fallas de seguridad diferentes en American Megatrends (AMI) MegaRAC Software de controlador de administración de placa base (BMC) que podría conducir a la ejecución remota de código en servidores vulnerables.

“El impacto de explotar estas vulnerabilidades incluye el control remoto de servidores comprometidos, la implementación remota de malware, ransomware e implantes de firmware, y daños físicos en el servidor (bloqueo)”, la empresa de seguridad de hardware y firmware Eclypsium. dijo en un informe compartido con The Hacker News.

Los BMC son sistemas independientes privilegiados dentro de servidores que se utilizan para controlar configuraciones de hardware de bajo nivel y administrar el sistema operativo host, incluso en escenarios cuando la máquina está apagada.

Estas capacidades hacen que los BMC sean un objetivo atractivo para los actores de amenazas que buscan plantar malware persistente en dispositivos que puedan sobrevivir a las reinstalaciones del sistema operativo y los reemplazos del disco duro.

La seguridad cibernética

llamados colectivamente BMC&Clos atacantes que tienen acceso a las interfaces de administración remota pueden explotar los problemas recién identificados (IPMI) como Pescado rojolo que podría permitir a los adversarios obtener el control de los sistemas y poner en riesgo las infraestructuras de la nube.

El más grave de los problemas es CVE-2022-40259 (puntuación CVSS: 9,9), un caso de ejecución de código arbitrario a través de la API de Redfish que requiere que el atacante ya tenga un nivel mínimo de acceso al dispositivo (Privilegios de devolución de llamada o mas alto).

CVE-2022-40242 (puntuación CVSS: 8,3) se relaciona con un hash para un usuario administrador del sistema que se puede descifrar y abusar para obtener acceso de shell administrativo, mientras que CVE-2022-2827 (puntuación CVSS: 7,5) es un error en el restablecimiento de contraseña función que puede aprovecharse para determinar si existe una cuenta con un nombre de usuario específico.

“[CVE-2022-2827] permite identificar usuarios preexistentes y no conduce a un caparazón, pero proporcionaría al atacante una lista de objetivos para ataques de fuerza bruta o de relleno de credenciales”, explicaron los investigadores.

Los hallazgos subrayan una vez más la importancia de asegurar la cadena de suministro de firmware y garantizar que los sistemas BMC no estén expuestos directamente a Internet.

“Como los centros de datos tienden a estandarizarse en plataformas de hardware específicas, cualquier vulnerabilidad de nivel BMC probablemente se aplicaría a una gran cantidad de dispositivos y podría afectar potencialmente a todo un centro de datos y los servicios que ofrece”, dijo la compañía.

Los hallazgos llegan como lo reveló Binarly múltiple vulnerabilidades de alto impacto en dispositivos basados ​​en AMI que podrían provocar la corrupción de la memoria y la ejecución de código arbitrario durante las primeras fases de arranque (es decir, un entorno anterior a EFI).

A principios de mayo, Eclypsium también descubrió lo que se llama una falla BMC “Pantsdown” que afecta a los servidores de Quanta Cloud Technology (QCT), cuya explotación exitosa podría otorgar a los atacantes el control total sobre los dispositivos.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Socio (37) confiesa el asesinato de Heidi (52) en Marke: hombre arrestado bajo sospecha de asesinato
Next: Rusia dispara una andanada de misiles contra las redes eléctricas y de agua de Ucrania

Related Stories

Malas noticias para los suscriptores de Deezer: esta oferta lo
  • Tecnología

Malas noticias para los suscriptores de Deezer: esta oferta lo cambiará todo

teknomers 2 de Temmuz de 2026
Avast One: protege tus compras y vacaciones de verano 2026
  • Tecnología

Avast One: protege tus compras y vacaciones de verano 2026

teknomers 2 de Temmuz de 2026
El iPhone 18 Pro Max contaría con una batería gigantesca
  • Tecnología

El iPhone 18 Pro Max contaría con una batería gigantesca

teknomers 2 de Temmuz de 2026

You May Have Missed

  • Deporte

Wimbledon 2026: Arthur Fery lleva las esperanzas británicas en el All England Club

teknomers 2 de Temmuz de 2026
  • General

Boda de Taylor Swift: La ceremonia de matrimonio de Taylor Swift con Travis Kelce en MSG-Madison Square Garden: Horarios de la ceremonia, eventos especiales, fiesta del 4 de julio.

teknomers 2 de Temmuz de 2026
España-Austria (3-0): Mikel Oyarzabal sucede a Andrés Iniesta y pone
  • Deporte

España-Austria (3-0): Mikel Oyarzabal sucede a Andrés Iniesta y pone fin a una sequía de 16 años para la Roja

teknomers 2 de Temmuz de 2026
  • Cultura

« Bonjour, pardon, merci »: ¿de qué habla Céline Dion en su nueva canción escrita por Ycare?

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.