Các lỗ hổng chuỗi cung ứng bổ sung được phát hiện trong phần mềm AMI MegaRAC BMC

Ngày 01 tháng 2 năm 2023Ravie LakshmananBảo mật máy chủ và đám mây

Hai lỗ hổng bảo mật chuỗi cung ứng khác đã được tiết lộ trong phần mềm AMI MegaRAC Baseboard Management Controller (BMC), gần hai tháng sau khi ba lỗ hổng bảo mật được đưa ra ánh sáng trong cùng một sản phẩm.

Công ty bảo mật phần sụn Eclypsium cho biết hai thiếu sót đã được giữ lại cho đến bây giờ để cung cấp thêm thời gian cho AMI để thiết kế các biện pháp giảm thiểu thích hợp.

Các vấn đề, được theo dõi chung như có thể đóng vai trò là bàn đạp cho các cuộc tấn công mạng, cho phép các tác nhân đe dọa thực thi mã từ xa và truy cập thiết bị trái phép bằng quyền siêu người dùng.

Hai lỗ hổng mới trong câu hỏi như sau –

CVE-2022-26872 (Điểm CVSS: 8.3) – Chặn đặt lại mật khẩu qua API
CVE-2022-40258 (Điểm CVSS: 5,3) – Băm mật khẩu yếu cho Redfish và API

Cụ thể, MegaRAC đã được phát hiện sử dụng thuật toán băm MD5 với một loại muối toàn cầu cho các thiết bị cũ hơn hoặc SHA-512 với mỗi người dùng muối trên các thiết bị mới hơn, có khả năng cho phép tác nhân đe dọa bẻ khóa mật khẩu.

Mặt khác, CVE-2022-26872 tận dụng API HTTP để lừa người dùng bắt đầu đặt lại mật khẩu bằng một cuộc tấn công kỹ thuật xã hội và đặt mật khẩu theo lựa chọn của kẻ thù.

CVE-2022-26872 và CVE-2022-40258 thêm vào ba lỗ hổng khác được tiết lộ vào tháng 12, bao gồm CVE-2022-40259 (điểm CVSS: 9,9), CVE-2022-40242 (điểm CVSS: 8,3) và CVE-2022- 2827 (điểm CVSS: 7,5).

Cần chỉ ra rằng các điểm yếu chỉ có thể bị khai thác trong các tình huống mà BMC tiếp xúc với internet hoặc trong trường hợp tác nhân đe dọa đã có quyền truy cập ban đầu vào trung tâm dữ liệu hoặc mạng quản trị bằng các phương pháp khác.

Gigabyte, Hewlett Packard Enterprise, Intel và Lenovo đều đã phát hành các bản cập nhật để giải quyết các lỗi bảo mật trong thiết bị của họ. NVIDIA dự kiến ​​sẽ gửi bản sửa lỗi vào tháng 5 năm 2023.

“Tác động của việc khai thác các lỗ hổng này bao gồm điều khiển từ xa các máy chủ bị xâm nhập, triển khai phần mềm độc hại, ransomware và phần mềm cấy ghép từ xa cũng như thiệt hại vật lý của máy chủ (bricking)”, Eclypsium lưu ý.