Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Vulnerabilidades adicionales de la cadena de suministro descubiertas en el software AMI MegaRAC BMC
  • Tecnología

Vulnerabilidades adicionales de la cadena de suministro descubiertas en el software AMI MegaRAC BMC

teknomers 1 de Şubat de 2023 3 minutes read


01 de febrero de 2023Ravie LakshmanánServidor y seguridad en la nube

Vulnerabilidades de la cadena de suministro de BMC

Se han revelado dos fallas de seguridad más en la cadena de suministro en el software AMI MegaRAC Baseboard Management Controller (BMC), casi dos meses después de que se revelaran tres vulnerabilidades de seguridad en el mismo producto.

Empresa de seguridad de firmware Eclypsium dicho las dos deficiencias se retuvieron hasta ahora para brindarle a AMI tiempo adicional para diseñar las mitigaciones apropiadas.

Los problemas, rastreados colectivamente como BMC&Cpodría actuar como trampolín para ataques cibernéticos, permitiendo a los actores de amenazas obtener ejecución remota de código y acceso no autorizado a dispositivos con permisos de superusuario.

Los dos nuevos defectos en cuestión son los siguientes:

  • CVE-2022-26872 (Puntuación CVSS: 8.3) – Intercepción de restablecimiento de contraseña a través de API
  • CVE-2022-40258 (Puntuación CVSS: 5.3) – Hashes de contraseña débiles para Redfish y API

Específicamente, se ha descubierto que MegaRAC usa el algoritmo hash MD5 con una sal global para dispositivos más antiguos, o SHA-512 con sales por usuario en dispositivos más nuevos, lo que podría permitir que un actor de amenazas descifre las contraseñas.

CVE-2022-26872, por otro lado, aprovecha una API HTTP para engañar a un usuario para que inicie un restablecimiento de contraseña mediante un ataque de ingeniería social y establezca una contraseña a elección del adversario.

CVE-2022-26872 y CVE-2022-40258 se suman a otras tres vulnerabilidades reveladas en diciembre, que incluyen CVE-2022-40259 (puntuación CVSS: 9,9), CVE-2022-40242 (puntaje CVSS: 8.3), y CVE-2022-2827 (puntuación CVSS: 7,5).

Vale la pena señalar que las debilidades solo se pueden explotar en escenarios en los que los BMC están expuestos a Internet o en los casos en que el actor de amenazas ya obtuvo acceso inicial a un centro de datos o red administrativa por otros métodos.

Actualmente se desconoce el radio de explosión de BMC&C, pero Eclypsium dijo que está trabajando con AMI y otras partes para determinar el alcance de los productos y servicios afectados.

Gigabyte, Hewlett Packard Enterprise, Intel y Lenovo lanzaron actualizaciones para abordar los defectos de seguridad en sus dispositivos. NVIDIA es esperado para enviar una solución en mayo de 2023.

“El impacto de explotar estas vulnerabilidades incluye el control remoto de servidores comprometidos, la implementación remota de malware, ransomware e implantes de firmware, y daños físicos al servidor (bloqueo)”, señaló Eclypsium.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El mensaje vegetariano de Jeff Beck de 30 años salió a la luz
Next: Cambio en Zwaagdijk-West: los planes para acomodar a los solicitantes de emergencia y titulares de estatus están fuera de la mesa

Related Stories

Los globos estratosféricos del CNES son tan grandes como la
  • Tecnología

Los globos estratosféricos del CNES son tan grandes como la Torre Eiffel, y así es como se fabrican.

teknomers 11 de Temmuz de 2026
Apple acusa a OpenAI de robo de secretos industriales en
  • Tecnología

Apple acusa a OpenAI de robo de secretos industriales en la justicia

teknomers 11 de Temmuz de 2026
Para las guarderías, el Estado lanza una API que permite
  • Tecnología

Para las guarderías, el Estado lanza una API que permite a los padres calcular automáticamente la tarifa

teknomers 11 de Temmuz de 2026

You May Have Missed

  • Cultura

«Al principio, éramos parias»: cómo la Japan Expo, el encuentro de los «geeks», se ha vuelto imprescindible

teknomers 11 de Temmuz de 2026
Los globos estratosféricos del CNES son tan grandes como la
  • Tecnología

Los globos estratosféricos del CNES son tan grandes como la Torre Eiffel, y así es como se fabrican.

teknomers 11 de Temmuz de 2026
Las farmacias de guardia que debes conocer en julio
  • salud

Las farmacias de guardia que debes conocer en julio

teknomers 11 de Temmuz de 2026
Antes de encender el aire acondicionado a fondo en tu
  • Entretenimiento

Antes de encender el aire acondicionado a fondo en tu coche, esto es lo que deberías saber

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.