Aynı üründe üç güvenlik açığının ortaya çıkarılmasından yaklaşık iki ay sonra, AMI MegaRAC Baseboard Management Controller (BMC) yazılımında iki tedarik zinciri güvenlik açığı daha açıklandı.
Ürün yazılımı güvenlik firması Eclypsium, AMI’ye uygun azaltmaları tasarlamak için ek zaman sağlamak için iki eksikliğin şimdiye kadar ertelendiğini söyledi.
Sorunlar, toplu olarak şu şekilde izlenir: BMC&Csiber saldırılar için sıçrama tahtası görevi görerek, tehdit aktörlerinin süper kullanıcı izinleriyle uzaktan kod yürütme ve yetkisiz cihaz erişimi elde etmelerini sağlayabilir.
Söz konusu iki yeni kusur şu şekildedir:
- CVE-2022-26872 (CVSS puanı: 8.3) – API aracılığıyla şifre sıfırlama müdahalesi
- CVE-2022-40258 (CVSS puanı: 5.3) – Redfish ve API için zayıf parola sağlamaları
Spesifik olarak, MegaRAC’ın eski cihazlar için küresel bir tuzla MD5 karma algoritmasını veya daha yeni cihazlarda kullanıcı başına tuzlarla SHA-512’yi kullandığı ve potansiyel olarak bir tehdit aktörünün şifreleri kırmasına izin verdiği bulunmuştur.
Öte yandan CVE-2022-26872, bir kullanıcıyı bir sosyal mühendislik saldırısı yoluyla bir parola sıfırlama başlatması için kandırmak ve rakibin tercihine göre bir parola ayarlamak için bir HTTP API’sinden yararlanır.
CVE-2022-26872 ve CVE-2022-40258, Aralık ayında açıklanan CVE-2022-40259 (CVSS puanı: 9,9), CVE-2022-40242 (CVSS puanı: 8,3) ve CVE-2022- dahil olmak üzere diğer üç güvenlik açığına eklenir. 2827 (CVSS puanı: 7.5).
Zayıflıkların yalnızca BMC’lerin internete maruz kaldığı senaryolarda veya tehdit aktörünün başka yöntemlerle bir veri merkezine veya yönetim ağına ilk erişimi elde ettiği durumlarda kullanılabileceğini belirtmekte fayda var.
BMC&C’nin patlama yarıçapı şu anda bilinmiyor, ancak Eclypsium, etkilenen ürün ve hizmetlerin kapsamını belirlemek için AMI ve diğer taraflarla birlikte çalıştığını söyledi.
Gigabyte, Hewlett Packard Enterprise, Intel ve Lenovo, cihazlarındaki güvenlik kusurlarını gidermek için güncellemeler yayınladı. NVIDIA’nın Mayıs 2023’te bir düzeltme göndermesi bekleniyor.
Eclypsium, “Bu güvenlik açıklarından yararlanmanın etkisi, güvenliği ihlal edilmiş sunucuların uzaktan kontrolünü, kötü amaçlı yazılımların uzaktan dağıtımını, fidye yazılımlarını ve sabit yazılım implantlarını ve sunucu fiziksel hasarını (tuğla kurma) içerir.”