新的 BMC 供应链漏洞影响数十家制造商的服务器
American Megatrends (AMI) MegaRAC 管理控制器 (BMC) 软件中披露了三种不同的安全漏洞,这些漏洞可能导致在易受攻击的服务器上远程执行代码。“利用这些漏洞的影响包括远程控制受感染的服务器、远程部署恶意软件、勒索软件和固件植入,以及服务器物理损坏(变砖)。”固件和硬件安全公司 Eclypsium在一份报告中说。
BMC 是服务器内的特权独立系统,用于控制低级硬件设置和管理主机操作系统,即使在机器断电的情况下也是如此。这些功能使 BMC 成为攻击者的诱人目标,他们希望在设备上植入持久性恶意软件,这些恶意软件可以在操作系统重新安装和硬盘驱动器更换后幸存下来。
一些已知使用 MegaRAC BMC 的主要服务器制造商包括 AMD、Ampere Computing、Arm、ASRock、Asus、Dell EMC、GIGABYTE、Hewlett Packard Enterprise、Huawei、Lenovo、Nvidia、Qualcomm、Quanta 和 Tyan。
这些新发现的问题统称为BMC&C ,可以被有权访问远程管理接口 ( IPMI )(如Redfish )的攻击者利用,从而可能使对手获得对系统的控制权并将云基础设施置于风险之中。其中最严重的问题是 CVE--40259(CVSS 分数:9.9),这是一种通过 Redfish API 执行任意代码的案例,要求攻击者已经拥有设备上的最低访问权限(回调权限或更高权限)。
CVE--40242(CVSS 分数:8.3)与系统管理员用户的哈希相关,可被破解和滥用以获得管理 shell 访问权限,而 CVE--2827(CVSS 分数:7.5)是密码重置中的错误可用于确定是否存在具有特定用户名的帐户的功能。调查结果再次强调了保护固件供应链和确保 BMC 系统不直接暴露在互联网上的重要性。
