Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Las nuevas vulnerabilidades de la cadena de suministro de BMC afectan a los servidores de docenas de fabricantes
  • Tecnología

Las nuevas vulnerabilidades de la cadena de suministro de BMC afectan a los servidores de docenas de fabricantes

teknomers 5 de Aralık de 2022 (Last updated: 5 de Aralık de 2022) 3 minutes read
Las nuevas vulnerabilidades de la cadena de suministro de BMC


05 de diciembre de 2022Ravie LakshmanánSeguridad del servidor / Tecnología en la nube

Se han revelado tres fallas de seguridad diferentes en American Megatrends (AMI) MegaRAC Software de controlador de administración de placa base (BMC) que podría conducir a la ejecución remota de código en servidores vulnerables.

“El impacto de explotar estas vulnerabilidades incluye el control remoto de servidores comprometidos, la implementación remota de malware, ransomware e implantes de firmware, y daños físicos en el servidor (bloqueo)”, la empresa de seguridad de hardware y firmware Eclypsium. dijo en un informe compartido con The Hacker News.

Los BMC son sistemas independientes privilegiados dentro de servidores que se utilizan para controlar configuraciones de hardware de bajo nivel y administrar el sistema operativo host, incluso en escenarios cuando la máquina está apagada.

Estas capacidades hacen que los BMC sean un objetivo atractivo para los actores de amenazas que buscan plantar malware persistente en dispositivos que puedan sobrevivir a las reinstalaciones del sistema operativo y los reemplazos del disco duro.

La seguridad cibernética

llamados colectivamente BMC&Clos atacantes que tienen acceso a las interfaces de administración remota pueden explotar los problemas recién identificados (IPMI) como Pescado rojolo que podría permitir a los adversarios obtener el control de los sistemas y poner en riesgo las infraestructuras de la nube.

El más grave de los problemas es CVE-2022-40259 (puntuación CVSS: 9,9), un caso de ejecución de código arbitrario a través de la API de Redfish que requiere que el atacante ya tenga un nivel mínimo de acceso al dispositivo (Privilegios de devolución de llamada o mas alto).

CVE-2022-40242 (puntuación CVSS: 8,3) se relaciona con un hash para un usuario administrador del sistema que se puede descifrar y abusar para obtener acceso de shell administrativo, mientras que CVE-2022-2827 (puntuación CVSS: 7,5) es un error en el restablecimiento de contraseña función que puede aprovecharse para determinar si existe una cuenta con un nombre de usuario específico.

“[CVE-2022-2827] permite identificar usuarios preexistentes y no conduce a un caparazón, pero proporcionaría al atacante una lista de objetivos para ataques de fuerza bruta o de relleno de credenciales”, explicaron los investigadores.

Los hallazgos subrayan una vez más la importancia de asegurar la cadena de suministro de firmware y garantizar que los sistemas BMC no estén expuestos directamente a Internet.

“Como los centros de datos tienden a estandarizarse en plataformas de hardware específicas, cualquier vulnerabilidad de nivel BMC probablemente se aplicaría a una gran cantidad de dispositivos y podría afectar potencialmente a todo un centro de datos y los servicios que ofrece”, dijo la compañía.

Los hallazgos llegan como lo reveló Binarly múltiple vulnerabilidades de alto impacto en dispositivos basados ​​en AMI que podrían provocar la corrupción de la memoria y la ejecución de código arbitrario durante las primeras fases de arranque (es decir, un entorno anterior a EFI).

A principios de mayo, Eclypsium también descubrió lo que se llama una falla BMC “Pantsdown” que afecta a los servidores de Quanta Cloud Technology (QCT), cuya explotación exitosa podría otorgar a los atacantes el control total sobre los dispositivos.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Socio (37) confiesa el asesinato de Heidi (52) en Marke: hombre arrestado bajo sospecha de asesinato
Next: Rusia dispara una andanada de misiles contra las redes eléctricas y de agua de Ucrania

Related Stories

El iPhone 18 Pro Max contaría con una batería gigantesca
  • Tecnología

El iPhone 18 Pro Max contaría con una batería gigantesca

teknomers 2 de Temmuz de 2026
SK Hynix va a invertir más de 56 mil millones
  • Tecnología

SK Hynix va a invertir más de 56 mil millones de euros en nuevas fábricas de producción de chips

teknomers 2 de Temmuz de 2026
Gemini: Google prueba la IA que ve la carretera en
  • Tecnología

Gemini: Google prueba la IA que ve la carretera en coches

teknomers 2 de Temmuz de 2026

You May Have Missed

  • General

Donación de Taylor Swift: Taylor Swift y Travis Kelce donan $26 millones a la caridad antes de la supuesta celebración de su boda – ¿por qué se benefician bancos de alimentos, hospitales infantiles y escuelas en todo el país?

teknomers 2 de Temmuz de 2026
  • General

Hasta 80 euros de multa: Salzburgo declara la guerra a los coches de los turistas en su centro histórico

teknomers 2 de Temmuz de 2026
  • General

Lección de vida sobre la no violencia en la resolución de conflictos: Proverbio griego del día: ‘Gana por persuasión, no por…’ – este inspirador dicho griego enseña lecciones de vida sobre por qué los grandes líderes nunca confían en la fuerza y por qué la comunicación es más poderosa que la autoridad.

teknomers 2 de Temmuz de 2026
  • Deporte

Resultados de Wimbledon 2026: Katie Boulter y Heather Watson entre las jugadoras británicas eliminadas en dobles

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.