![\"Vulnerabilidades](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEg3PVTa1kltLpsnOdDNb2zOa39L0toek5kLvG7ZHCo17u-89Mg0ABdOrMuOEQnRGnp3T8M9mkZOCKCtUQs3X80tqNRs5lN_MyOkRQC_jYZ93ESxrzG36YGGKr4-nxjjVwF6yI7oA1OMEDk1vzGFDnNQEMJbCeDCQLbYAsnCjjmsaCubbV7xRKyRJPx2\/s728-e3650\/server.png\" "\\"Vulnerabilidades")
<\/div>\nSe han revelado dos fallas de seguridad m\u00e1s en la cadena de suministro en el software AMI MegaRAC Baseboard Management Controller (BMC), casi dos meses despu\u00e9s de que se revelaran tres vulnerabilidades de seguridad en el mismo producto.<\/p>\n
Empresa de seguridad de firmware Eclypsium dicho<\/a> las dos deficiencias se retuvieron hasta ahora para brindarle a AMI tiempo adicional para dise\u00f1ar las mitigaciones apropiadas.<\/p>\n Los problemas, rastreados colectivamente como BMC&C<\/strong>podr\u00eda actuar como trampol\u00edn para ataques cibern\u00e9ticos, permitiendo a los actores de amenazas obtener ejecuci\u00f3n remota de c\u00f3digo y acceso no autorizado a dispositivos con permisos de superusuario.<\/p>\n Los dos nuevos defectos en cuesti\u00f3n son los siguientes:<\/p>\n Espec\u00edficamente, se ha descubierto que MegaRAC usa el algoritmo hash MD5 con una sal global para dispositivos m\u00e1s antiguos, o SHA-512 con sales por usuario<\/a> en dispositivos m\u00e1s nuevos, lo que podr\u00eda permitir que un actor de amenazas descifre las contrase\u00f1as.<\/p>\n CVE-2022-26872, por otro lado, aprovecha una API HTTP para enga\u00f1ar a un usuario para que inicie un restablecimiento de contrase\u00f1a mediante un ataque de ingenier\u00eda social y establezca una contrase\u00f1a a elecci\u00f3n del adversario.<\/p>\n CVE-2022-26872 y CVE-2022-40258 se suman a otras tres vulnerabilidades reveladas en diciembre, que incluyen CVE-2022-40259<\/a> (puntuaci\u00f3n CVSS: 9,9), CVE-2022-40242<\/a> (puntaje CVSS: 8.3), y CVE-2022-2827<\/a> (puntuaci\u00f3n CVSS: 7,5).<\/p>\n Vale la pena se\u00f1alar que las debilidades solo se pueden explotar en escenarios en los que los BMC est\u00e1n expuestos a Internet o en los casos en que el actor de amenazas ya obtuvo acceso inicial a un centro de datos o red administrativa por otros m\u00e9todos.<\/p>\n Actualmente se desconoce el radio de explosi\u00f3n de BMC&C, pero Eclypsium dijo que est\u00e1 trabajando con AMI y otras partes para determinar el alcance de los productos y servicios afectados.<\/p>\n Gigabyte, Hewlett Packard Enterprise, Intel y Lenovo lanzaron actualizaciones para abordar los defectos de seguridad en sus dispositivos. NVIDIA es esperado<\/a> para enviar una soluci\u00f3n en mayo de 2023.<\/p>\n “El impacto de explotar estas vulnerabilidades incluye el control remoto de servidores comprometidos, la implementaci\u00f3n remota de malware, ransomware e implantes de firmware, y da\u00f1os f\u00edsicos al servidor (bloqueo)”, se\u00f1al\u00f3 Eclypsium.<\/p>\n <\/p>\n\n