Se han revelado tres fallas de seguridad diferentes en American Megatrends (AMI) MegaRAC Software de controlador de administración de placa base (BMC) que podría conducir a la ejecución remota de código en servidores vulnerables.
«El impacto de explotar estas vulnerabilidades incluye el control remoto de servidores comprometidos, la implementación remota de malware, ransomware e implantes de firmware, y daños físicos en el servidor (bloqueo)», la empresa de seguridad de hardware y firmware Eclypsium. dijo en un informe compartido con The Hacker News.
Los BMC son sistemas independientes privilegiados dentro de servidores que se utilizan para controlar configuraciones de hardware de bajo nivel y administrar el sistema operativo host, incluso en escenarios cuando la máquina está apagada.
Estas capacidades hacen que los BMC sean un objetivo atractivo para los actores de amenazas que buscan plantar malware persistente en dispositivos que puedan sobrevivir a las reinstalaciones del sistema operativo y los reemplazos del disco duro.
llamados colectivamente BMC&Clos atacantes que tienen acceso a las interfaces de administración remota pueden explotar los problemas recién identificados (IPMI) como Pescado rojolo que podría permitir a los adversarios obtener el control de los sistemas y poner en riesgo las infraestructuras de la nube.
El más grave de los problemas es CVE-2022-40259 (puntuación CVSS: 9,9), un caso de ejecución de código arbitrario a través de la API de Redfish que requiere que el atacante ya tenga un nivel mínimo de acceso al dispositivo (Privilegios de devolución de llamada o mas alto).
CVE-2022-40242 (puntuación CVSS: 8,3) se relaciona con un hash para un usuario administrador del sistema que se puede descifrar y abusar para obtener acceso de shell administrativo, mientras que CVE-2022-2827 (puntuación CVSS: 7,5) es un error en el restablecimiento de contraseña función que puede aprovecharse para determinar si existe una cuenta con un nombre de usuario específico.
«[CVE-2022-2827] permite identificar usuarios preexistentes y no conduce a un caparazón, pero proporcionaría al atacante una lista de objetivos para ataques de fuerza bruta o de relleno de credenciales», explicaron los investigadores.
Los hallazgos subrayan una vez más la importancia de asegurar la cadena de suministro de firmware y garantizar que los sistemas BMC no estén expuestos directamente a Internet.
«Como los centros de datos tienden a estandarizarse en plataformas de hardware específicas, cualquier vulnerabilidad de nivel BMC probablemente se aplicaría a una gran cantidad de dispositivos y podría afectar potencialmente a todo un centro de datos y los servicios que ofrece», dijo la compañía.
Los hallazgos llegan como lo reveló Binarly múltiple vulnerabilidades de alto impacto en dispositivos basados en AMI que podrían provocar la corrupción de la memoria y la ejecución de código arbitrario durante las primeras fases de arranque (es decir, un entorno anterior a EFI).
A principios de mayo, Eclypsium también descubrió lo que se llama una falla BMC «Pantsdown» que afecta a los servidores de Quanta Cloud Technology (QCT), cuya explotación exitosa podría otorgar a los atacantes el control total sobre los dispositivos.