AMI MegaRAC BMC 软件中发现的其他供应链漏洞

admin 2023年2月2日10:18:19评论45 views字数 843阅读2分48秒阅读模式

AMI MegaRAC BMC 软件中发现的其他供应链漏洞

AMI MegaRAC 基板管理控制器 (BMC) 软件中又披露了两个供应链安全漏洞,这是在同一产品中发现三个安全漏洞近两个月后。

固件安全公司Eclypsium表示,这两个缺点直到现在才被搁置,以便为AMI提供额外的时间来设计适当的缓解措施。这些问题统称为BMC&C,可以作为网络攻击的跳板,使威胁行为者能够获得远程代码执行和未经授权的设备访问,并具有超级用户权限。

有问题的两个新缺陷如下——

  • CVE-2022-26872(CVSS 分数:8.3) - 通过 API 拦截密码重置

  • CVE-2022-40258(CVSS 分数:5.3) - Redfish 和 API 的密码哈希较弱

具体来说,已发现 MegaRAC 使用带有旧设备的全局盐的 MD5 哈希算法,或在较新的设备上使用具有每用户盐的 SHA-512,这可能允许威胁参与者破解密码。

另一方面,CVE-2022-26872 利用 HTTP API 欺骗用户通过社会工程攻击启动密码重置,并设置对手选择的密码。

CVE-2022-26872 和 CVE-2022-40258 增加了 2022 月披露的其他三个漏洞,包括 CVE-40259-9(CVSS 分数:9.2022)、CVE-40242-8(CVSS 分数:3.2022)和 CVE-2827-7(CVSS 分数:7.5)。

值得指出的是,只有在 BMC 暴露在 Internet 上的情况下,或者在威胁参与者已经通过其他方法获得对数据中心或管理网络的初始访问权限的情况下,才能利用这些弱点。

BMC&C的爆炸半径目前尚不清楚,但Eclypsium表示正在与AMI和其他各方合作,以确定受影响产品和服务的范围。

技嘉、惠普企业、英特尔和联想都发布了更新,以解决其设备中的安全缺陷。NVIDIA 预计将在 2023 年 5月发布修复程序。“利用这些漏洞的影响包括远程控制受感染的服务器,远程部署恶意软件,勒索软件和固件植入物,以及服务器物理损坏(砖块),”Eclypsium指出。


原文始发于微信公众号(黑猫安全):AMI MegaRAC BMC 软件中发现的其他供应链漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月2日10:18:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   AMI MegaRAC BMC 软件中发现的其他供应链漏洞http://cn-sec.com/archives/1533255.html

发表评论

匿名网友 填写信息