В прошивках BMC крупных производителей серверного оборудования обнаружено пять уязвимостей, позволяющих злоумышленникам удалённо выполнить код и получить управление системой.
Уязвимости обнаружили специалисты компании Eclypsium, которые назвали их BMC&C. О трёх из пяти уязвимостей было заявлено ещё в декабре 2022 года, когда проприетарный код American Megatrends, а именно прошивки MegaRAC BMC, утек в сеть. А на прошлой неделе в копилку добавили ещё две уязвимости, дали AMI больше времени для решения проблем.
Ошибки обнаружены в вычислительных платформах системы на кристалле (SoC), которые используют программное обеспечение AMI MegaRAC Baseboard Management Controller (BMC). MegaRAC от AMI представляет собой коллекцию программного обеспечения, основанного на проекте прошивки Open BMC — проекте с открытым исходным кодом для разработки и поддержки встроенного ПО контроллера управления основной платой. Эту систему используют многие крупные поставщики:
- AMD
- Ampere Computing
- ASRock
- Asus
- ARM
- Dell EMC
- Gigabyte
- Hewlett-Packard Enterprise
- Hitachi Vantara
- Huawei
- Inspur
- Intel
- Lenovo
- NetApp
- Nvidia
- Qualcomm
- Quanta
- Tyan
Эксплуатация уязвимости возможна при наличии сетевого подключения к BMC.
- CVE-2022-40259 – выполнение произвольного кода через Redfish API (9.9 балла из 10 возможных по шкале CVSS 3.1)
- CVE-2022-40242 – учетные данные по умолчанию для пользователя UID = 0 (sysadmin) в SSH (8.3 балла по шкале CVSS 3.1)
- CVE-2022-2827 – перебор пользователей в API (7.5 баллов по шкале CVSS 3.1)
- CVE-2022-26872 – сброс пароля пользователю через API (8.3 балла по шкале CVSS 3.1)
- CVE-2022-40258 – слабое хеширование паролей в Redfish & API (5.3 балла по шкале CVSS 3.1)
Примечательно, что я совсем недавно обнаружил учётную запись sysadmin в сервере ASUS:
ASUS ASMB10-iKVM логин и пароль по умолчанию
Ссылки
https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk
