Deux autres failles de sécurité de la chaîne d’approvisionnement ont été révélées dans le logiciel AMI MegaRAC Baseboard Management Controller (BMC), près de deux mois après la découverte de trois vulnérabilités de sécurité dans le même produit.
Entreprise de sécurité du micrologiciel Eclypsium m’a dit les deux lacunes ont été retenues jusqu’à présent pour donner à AMI plus de temps pour concevoir les mesures d’atténuation appropriées.
Les problèmes, collectivement suivis comme BMC&Cpourrait servir de tremplin pour les cyberattaques, permettant aux acteurs de la menace d’obtenir l’exécution de code à distance et l’accès non autorisé à l’appareil avec des autorisations de superutilisateur.
Les deux nouveaux défauts en question sont les suivants –
- CVE-2022-26872 (Score CVSS : 8,3) – Interception de réinitialisation du mot de passe via l’API
- CVE-2022-40258 (Score CVSS : 5,3) – Hachages de mots de passe faibles pour Redfish et API
Plus précisément, MegaRAC s’est avéré utiliser l’algorithme de hachage MD5 avec un sel global pour les appareils plus anciens, ou SHA-512 avec sels par utilisateur sur les appliances plus récentes, permettant potentiellement à un acteur malveillant de déchiffrer les mots de passe.
CVE-2022-26872, d’autre part, exploite une API HTTP pour duper un utilisateur afin qu’il lance une réinitialisation de mot de passe au moyen d’une attaque d’ingénierie sociale et définisse un mot de passe au choix de l’adversaire.
CVE-2022-26872 et CVE-2022-40258 s’ajoutent à trois autres vulnérabilités divulguées en décembre, notamment CVE-2022-40259 (cote CVSS : 9,9), CVE-2022-40242 (score CVSS : 8,3), et CVE-2022-2827 (Note CVSS : 7,5).
Il convient de souligner que les faiblesses ne sont exploitables que dans les scénarios où les BMC sont exposés à Internet ou dans les cas où l’acteur de la menace a déjà obtenu un accès initial à un centre de données ou à un réseau administratif par d’autres méthodes.
Le rayon d’explosion de BMC&C est actuellement inconnu, mais Eclypsium a déclaré qu’il travaillait avec AMI et d’autres parties pour déterminer l’étendue des produits et services touchés.
Gigabyte, Hewlett Packard Enterprise, Intel et Lenovo ont tous publié des mises à jour pour corriger les défauts de sécurité de leurs appareils. NVIDIA est attendu pour expédier un correctif en mai 2023.
« L’impact de l’exploitation de ces vulnérabilités comprend le contrôle à distance des serveurs compromis, le déploiement à distance de logiciels malveillants, de ransomwares et d’implantations de micrologiciels, et les dommages physiques au serveur (bricking) », a noté Eclypsium.