Se han revelado dos fallas de seguridad más en la cadena de suministro en el software AMI MegaRAC Baseboard Management Controller (BMC), casi dos meses después de que se revelaran tres vulnerabilidades de seguridad en el mismo producto.
Empresa de seguridad de firmware Eclypsium dicho las dos deficiencias se retuvieron hasta ahora para brindarle a AMI tiempo adicional para diseñar las mitigaciones apropiadas.
Los problemas, rastreados colectivamente como BMC&Cpodría actuar como trampolín para ataques cibernéticos, permitiendo a los actores de amenazas obtener ejecución remota de código y acceso no autorizado a dispositivos con permisos de superusuario.
Los dos nuevos defectos en cuestión son los siguientes:
- CVE-2022-26872 (Puntuación CVSS: 8.3) – Intercepción de restablecimiento de contraseña a través de API
- CVE-2022-40258 (Puntuación CVSS: 5.3) – Hashes de contraseña débiles para Redfish y API
Específicamente, se ha descubierto que MegaRAC usa el algoritmo hash MD5 con una sal global para dispositivos más antiguos, o SHA-512 con sales por usuario en dispositivos más nuevos, lo que podría permitir que un actor de amenazas descifre las contraseñas.
CVE-2022-26872, por otro lado, aprovecha una API HTTP para engañar a un usuario para que inicie un restablecimiento de contraseña mediante un ataque de ingeniería social y establezca una contraseña a elección del adversario.
CVE-2022-26872 y CVE-2022-40258 se suman a otras tres vulnerabilidades reveladas en diciembre, que incluyen CVE-2022-40259 (puntuación CVSS: 9,9), CVE-2022-40242 (puntaje CVSS: 8.3), y CVE-2022-2827 (puntuación CVSS: 7,5).
Vale la pena señalar que las debilidades solo se pueden explotar en escenarios en los que los BMC están expuestos a Internet o en los casos en que el actor de amenazas ya obtuvo acceso inicial a un centro de datos o red administrativa por otros métodos.
Actualmente se desconoce el radio de explosión de BMC&C, pero Eclypsium dijo que está trabajando con AMI y otras partes para determinar el alcance de los productos y servicios afectados.
Gigabyte, Hewlett Packard Enterprise, Intel y Lenovo lanzaron actualizaciones para abordar los defectos de seguridad en sus dispositivos. NVIDIA es esperado para enviar una solución en mayo de 2023.
«El impacto de explotar estas vulnerabilidades incluye el control remoto de servidores comprometidos, la implementación remota de malware, ransomware e implantes de firmware, y daños físicos al servidor (bloqueo)», señaló Eclypsium.