近日，知名软硬件公司American Megatrends International（安迈，简称AMI）开发的MegaRAC基带管理控制器（BMC）软件曝出了两个新的严重漏洞。BMC是一种微型计算机，焊接到了服务器的主板上，使云中心及其客户可以简化远程管理大批计算机的任务。这使管理员们能够远程重装操作系统、安装和卸载应用程序，以及控制整个系统的几乎其他各个方面，甚至在关闭时也能控制。

MegaRAC BMC为管理员们提供了“带外”和“无人值守”远程系统管理功能，从而使管理员能够对服务器进行故障排除，就好像人在设备跟前一样。

该固件被业内十多家服务器制造商所使用，这些制造商为许多云服务和数据中心提供商提供设备。受影响的供应商包括AMD、华硕、ARM、Dell EMC、技嘉、联想、英伟达、高通、HPE、华为、Ampere Computing和华擎科技等更多厂商。

Eclypsium安全公司的安全研究人员在分析了RansomEXX勒索软件团伙窃取的AMI源代码后，发现了这两个漏洞（编号为CVE-2023-34329和CVE-2023-34330）。RansomEXX勒索软件团伙入侵了AMI的商业合作伙伴之一：计算机硬件巨头技嘉兴的网络，从而窃取了AMI源代码。

据安全外媒报道，RansomEXX团伙的攻击者于2021年8月在其暗网数据泄露网站上公布了窃取的文件。

这两个安全漏洞使攻击者能够通过暴露在远程访问者面前的Redfish远程管理接口，绕过身份验证或注入恶意代码：

• CVE-2023-34329——通过HTTP报头欺骗手段绕过身份验证（9.9/10 CVSS 3.0基础分数）

• CVE-2023-34330——通过动态Redfish扩展接口注入代码（6.7/10 CVSS 3.0基础分数）

只要远程攻击者可以通过网络访问BMC管理接口，即使缺乏BMC凭据，如果通过结合这两个漏洞，就可以在运行易受攻击的固件的服务器上远程执行代码。

这是通过欺骗BMC将HTTP请求视为来自内部接口来实现的。因此，如果接口在网上暴露无遗，攻击者就可以远程上传和执行任意代码，甚至可能从互联网执行这番操作。

影响包括服务器成废砖和无限重启循环

Eclypsium的研究人员在近日发布的一篇博文中写道：“这些漏洞的严重程度从很高到危急不等，包括未经身份验证的远程代码执行和未经授权的设备访问，拥有超级用户的权限。它们可以被能够访问Redfish远程管理接口的远程攻击者的利用，或者从一个受感染的主机操作系统来利用。Redfish是传统IPMI的后续技术，它为管理服务器的基础设施及支持现代数据中心的其他基础设施提供了一种API标准。除了得到常用于现代超大规模环境的OpenBMC固件项目的支持外，Redfish还得到了几乎所有主要的服务器和基础设施供应商的支持。”

这些漏洞对云计算背后的技术供应链构成了重大风险。简而言之，组件供应商中的漏洞影响许多硬件供应商，而这些漏洞又会被传递给许多云服务。因此，这些漏洞可能对组织直接拥有的服务器和硬件以及支持组织使用的云服务的硬件构成了风险。它们还会影响组织的上游供应商，应该与关键第三方进行讨论，作为一般性的供应链风险管理尽职调查的一个环节。

Eclypsium表示：“利用这些漏洞的影响包括：远程控制受感染的服务器，远程部署恶意软件，勒索软件和固件植入或破坏主板组件（BMC或潜在的BIOS/UEFI），可能对服务器造成物理损坏（过电压/固件破坏），以及受害者组织无法中断的无限重启循环。”

“我们还需要强调的一点是，这种植入极难被检测出现，而且极容易被任何攻击者以单行漏洞利用代码的形式重新创建。”

在2022年12月和2023年1月，Eclypsium披露了另外五个MegaRAC BMC漏洞（编号为CVE-2022-40259、CVE-2022-40242、CVE-2022-2827、CVE-2022-26872和CVE-2022-40258），这些漏洞可以被利用来劫持、破坏或远程感染被恶意软件感染的服务器。

此外，今天披露的这两个MegaRAC BMC固件漏洞可以与上面提到的这些漏洞结合使用起来。

具体来说，CVE-2022-40258（涉及Redfish & API的弱密码散列）可以帮助攻击者破解BMC芯片上管理员账户的管理员密码，从而使攻击更加简单直接。

Eclypsium表示，他们还没有看到任何证据表明这些漏洞或他们之前披露的BMC&C漏洞正在外头被人利用。然而，由于威胁分子可以访问相同的源数据，这些漏洞沦为攻击武器的风险大大增加了。

参考及来源：https://www.bleepingcomputer.com/news/security/critical-ami-megarac-bugs-can-let-hackers-brick-vulnerable-servers/