Перейти к основному содержанию

BMC&C — пять уязвимостей в Baseboard Management Controller

Security

В прошивках BMC крупных производителей серверного оборудования обнаружено пять уязвимостей, позволяющих злоумышленникам удалённо выполнить код и получить управление системой.

Уязвимости обнаружили специалисты компании Eclypsium, которые назвали их BMC&C. О трёх из пяти уязвимостей было заявлено ещё в декабре 2022 года, когда проприетарный код American Megatrends, а именно прошивки MegaRAC BMC, утек в сеть. А на прошлой неделе в копилку добавили ещё две уязвимости, дали AMI больше времени для решения проблем.

Ошибки обнаружены в вычислительных платформах системы на кристалле (SoC), которые используют программное обеспечение AMI MegaRAC Baseboard Management Controller (BMC). MegaRAC от AMI представляет собой коллекцию программного обеспечения, основанного на проекте прошивки Open BMC — проекте с открытым исходным кодом для разработки и поддержки встроенного ПО контроллера управления основной платой. Эту систему используют многие крупные поставщики:

  • AMD
  • Ampere Computing
  • ASRock
  • Asus
  • ARM
  • Dell EMC
  • Gigabyte
  • Hewlett-Packard Enterprise
  • Hitachi Vantara
  • Huawei
  • Inspur
  • Intel
  • Lenovo
  • NetApp
  • Nvidia
  • Qualcomm
  • Quanta
  • Tyan

Эксплуатация уязвимости возможна при наличии сетевого подключения к BMC.

  • CVE-2022-40259 – выполнение произвольного кода через Redfish API (9.9 балла из 10 возможных по шкале CVSS 3.1)
  • CVE-2022-40242 – учетные данные по умолчанию для пользователя UID = 0 (sysadmin) в SSH (8.3 балла по шкале CVSS 3.1)
  • CVE-2022-2827 – перебор пользователей в API (7.5 баллов по шкале CVSS 3.1)
  • CVE-2022-26872 – сброс пароля пользователю через API (8.3 балла по шкале CVSS 3.1)
  • CVE-2022-40258 – слабое хеширование паролей в Redfish & API (5.3 балла по шкале CVSS 3.1)

Примечательно, что я совсем недавно обнаружил учётную запись sysadmin в сервере ASUS:

ASUS ASMB10-iKVM логин и пароль по умолчанию

Ссылки

https://9443417.fs1.hubspotusercontent-na1.net/hubfs/9443417/Security%20Advisories/AMI-SA-2023001.pdf

https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk

https://www.darkreading.com/vulnerabilities-threats/firmware-flaws-could-spell-lights-out-for-servers

security

Теги

 

Похожие материалы

Cisco собирается купить DUO Security

Компания Cisco анонсировала покупку стартапа DUO Security. Сумма сделки составит не менее $2,35 миллиардов. Сделка будет завершена в первом квартале следующего финансового года компании. DUO занимается системами двухфакторной авторизации.