BMC供应链新漏洞影响数十家制造商的服务器

美国Megatrends（AMI）MegaRAC基板管理控制器（BMC）软件中披露了三种不同的安全漏洞，可能导致在易受攻击的服务器上执行远程代码。

固件和硬件安全公司Eclypsium在与《黑客新闻》分享的一份报告中表示：“利用这些漏洞的影响包括远程控制受损服务器、远程部署恶意软件、勒索软件和固件植入，以及服务器物理损坏（砖砌）”。

BMC是服务器中的特权独立系统，用于控制低级硬件设置和管理主机操作系统，即使在机器断电的情况下也是如此。

这些功能使BMC成为威胁行为者的诱人目标，他们希望在操作系统重新安装和硬盘更换后仍能存活的设备上植入持久性恶意软件。

已知使用过MegaRAC BMC的一些主要服务器制造商包括AMD、Ampere Computing、Arm、ASRock、华硕、Dell EMC、GIGABYTE、Hewlett-Packard Enterprise、华为、联想、英伟达、高通、Quanta和Tyan。

统称BMC&amp；C，新发现的问题可被攻击者利用，攻击者可以访问Redfish等远程管理接口（IPMI），从而可能使对手获得对系统的控制，并使云基础设施面临风险。

这些问题中最严重的是CVE-2022-40259（CVSS评分：9.9），这是一种通过Redfish API执行任意代码的情况，要求攻击者在设备上拥有最低级别的访问权限（回调权限或更高）。

CVE-2022-40242（CVSS评分：8.3）涉及sysadmin用户的哈希，该哈希可以被破解和滥用以获得管理外壳访问权限，而CVE-2022-2827（CVSS得分：7.5）是密码重置功能中的一个漏洞，可以利用该漏洞来确定是否存在具有特定用户名的帐户。

研究人员解释说：“[CVE-2022-2827]允许精确定位预先存在的用户，不会导致外壳，但会为攻击者提供暴力攻击或填充凭证攻击的目标列表”。

这些发现再次强调了确保固件供应链安全和确保BMC系统不直接暴露于互联网的重要性。

该公司表示：“由于数据中心倾向于在特定硬件平台上实现标准化，任何BMC级别的漏洞都很可能适用于大量设备，并可能影响整个数据中心及其提供的服务”。

在Binarly发现基于AMI的设备中存在多个高影响漏洞时，这些漏洞可能会导致早期启动阶段（即预EFI环境）内存损坏和任意代码执行。

今年5月早些时候，Eclypsium还发现了影响Quanta Cloud Technology（QCT）服务器的所谓“Pantstown”BMC缺陷，成功利用该漏洞可以让攻击者完全控制设备。