Hơn một chục lỗi bảo mật đã được phát hiện trong chương trình cơ sở của bộ điều khiển quản lý bảng điều khiển (BMC) từ Lanner có thể khiến công nghệ vận hành (OT) và mạng internet vạn vật (IoT) bị tấn công từ xa.
BMC đề cập đến bộ xử lý dịch vụ chuyên dụng, hệ thống trên chip (SoC), được tìm thấy trong bo mạch chủ máy chủ và được sử dụng để giám sát và quản lý hệ thống máy chủ từ xa, bao gồm thực hiện các hoạt động hệ thống cấp thấp như flash chương trình cơ sở và điều khiển nguồn .
Nozomi Networks, đã phân tích Giao diện quản lý nền tảng thông minh (IPMC) từ nhà cung cấp Đài Loan Lanner Electronics, cho biết họ đã phát hiện ra 13 điểm yếu ảnh hưởng đến IAC-AST2500.
Tất cả các sự cố đều ảnh hưởng đến phiên bản 1.10.0 của chương trình cơ sở tiêu chuẩn, ngoại trừ CVE-2021-4228, ảnh hưởng đến phiên bản 1.00.0. Bốn trong số các lỗi (từ CVE-2021-26727 đến CVE-2021-26730) được xếp hạng 10/10 trên hệ thống tính điểm CVSS.
Đặc biệt, công ty bảo mật công nghiệp đã phát hiện ra rằng CVE-2021-44467, một lỗi kiểm soát truy cập trong giao diện web, có thể được xâu chuỗi với CVE-2021-26728, một lỗ hổng tràn bộ đệm, để thực thi mã từ xa trên BMC với quyền root .
“Khi cũng xem xét rằng tất cả các quy trình chạy với quyền root trên thiết bị, các điểm yếu kết hợp cho phép kẻ tấn công không được xác thực hoàn toàn xâm phạm cả BMC và máy chủ được quản lý”, công ty cho biết trong một bài viết được xuất bản vào tuần trước.
Kể từ đó, Lanner đã phát hành một chương trình cơ sở cập nhật giải quyết các lỗ hổng được đề cập sau khi tiết lộ có trách nhiệm.
Các nhà nghiên cứu cho biết: “BMC đại diện cho một cách hấp dẫn để giám sát và quản lý hệ thống máy tính một cách thuận tiện mà không yêu cầu quyền truy cập vật lý, trong CNTT cũng như trong miền OT/IoT”.
“Tuy nhiên, khả năng sử dụng của chúng phải trả giá bằng bề mặt tấn công rộng hơn và điều đó có thể dẫn đến sự gia tăng rủi ro tổng thể nếu chúng không được bảo vệ đầy đủ.”
