近日,著名软硬件公司American Megatrends International〔安迈,简称AMI〕开发MegaRAC基带管理控制器〔BMC〕软件曝出两個新严重漏洞,BMC是一种微型计算机,焊接到服务器主板上,使云腹地及其客户可以简化远程管理大批计算机任务,这使管理员们能够远程重装操作系统、安装、卸载应用程序,以及控制整個系统接近其他各個方面,甚至在关闭时也能控制,
MegaRAC BMC为管理员们供应“带外”、“无人值守”远程系统管理功能,于是使管理员能够对服务器实行故障排除,就好像人在设备跟前一样,
该固件被业内十多家服务器制造商所运用,这些制造商为很多云服务、数据腹地供应商供应设备,受影响供应商涵盖AMD、华硕、ARM、Dell EMC、技嘉、联想、英伟达、高通、HPE、华为、Ampere Computing、华擎科技等更多厂商,
Eclypsium保障公司保障研究人员在分析RansomEXX勒索软件团伙窃取AMI源代码后,发现这两個漏洞〔编号为CVE-2023-34329、CVE-2023-34330〕,RansomEXX勒索软件团伙入侵AMI商业协作伙伴之一:计算机硬件巨头技嘉兴网络,于是窃取AMI源代码,
据保障外媒报道,RansomEXX团伙攻击者于2021年8月在其暗网数据泄露网站上公布窃取文件,
这两個保障漏洞使攻击者能够经由暴露在远程访问者面前Redfish远程管理接口,绕过身份验证或注入恶意代码:
• CVE-2023-34329——经由HTTP报头欺骗手段绕过身份验证〔9.9/10 CVSS 3.0基石分数〕
• CVE-2023-34330——经由动态Redfish扩展接口注入代码〔6.7/10 CVSS 3.0基石分数〕
只要远程攻击者可以经由网络访问BMC管理接口,就使缺乏BMC凭据,倘若经由结合这两個漏洞,就可以在运行易受攻击固件服务器上远程执行代码,
这是经由欺骗BMC将HTTP请求视为来自内部接口来实行,因为这個,倘若接口在网上暴露无遗,攻击者就可以远程上传、执行任意代码,甚至大概从互联网执行这番操作,
影响涵盖服务器成废砖、无限重启循环
Eclypsium研究人员在近日发布一篇博文中写道:“这些漏洞严重层次从很高到危急不;涵盖未经身份验证远程代码执行、未经授权设备访问,持有超级运用者权限,它们可以被能够访问Redfish远程管理接口远程攻击者利用,或者从一個受感染主机操作系统来利用,Redfish是传统IPMI后续技术,它为管理服务器基石设施及持助现代数据腹地其他基石设施供应一种API准则,除得到常用于现代超大规模环境OpenBMC固件项目持助外,Redfish还得到接近所有最先选服务器、基石设施供应商持助,”
这些漏洞对云计算背后技术供应链构成重大风险,简而言之,组件供应商中漏洞影响很多硬件供应商,而这些漏洞又会被传递给很多云服务,因为这個,这些漏洞大概对组织直接持有服务器、硬件以及持助组织运用云服务硬件构成风险,它们还会影响组织上游供应商,应该与根本第三方实行讨论,作为一般性供应链风险管理尽职调查一個环节,
Eclypsium表达:“利用这些漏洞影响涵盖:远程控制受感染服务器,远程部署恶意软件,勒索软件、固件植入或破坏主板组件〔BMC或潜在BIOS/UEFI〕,大概对服务器造成物理损坏〔过电压/固件破坏〕,以及受害者组织无法中断无限重启循环,”
“咱们还须要着重一点是,这种植入极难被检测发生,况且极容易被任何攻击者以单行漏洞利用代码格局重新创建,”
在2022年12月、2023年1月,Eclypsium披露另外五個MegaRAC BMC漏洞〔编号为CVE-2022-40259、CVE-2022-40242、CVE-2022-2827、CVE-2022-26872、CVE-2022-40258〕,这些漏洞可以被利用来劫持、破坏或远程感染被恶意软件感染服务器,
另外,今天披露这两個MegaRAC BMC固件漏洞可以与上面提到这些漏洞结合运用起来,
具体来说,CVE-2022-40258〔涉及Redfish & API弱密码散列〕可以协助攻击者破解BMC芯片上管理员账户管理员密码,于是使攻击更加简单直接,
Eclypsium表达,他们还没有看到任何证据说明这些漏洞或他们之前披露BMC&C漏洞正在外头被人利用,反而,由于威胁分子可以访问相同源数据,这些漏洞沦为攻击武器风险大大增加。
参考及来源:https://www.bleepingcomputer.com/news/security/critical-ami-megarac-bugs-can-let-hackers-brick-vulnerable-servers/
