Resim: Bing Resim Oluşturucu
Donanım ve yazılım şirketi American Megatrends International tarafından yapılan MegaRAC Anakart Yönetim Denetleyicisi (BMC) yazılımında kritik düzeyde iki yeni güvenlik açığı keşfedildi.
MegaRAC BMC, yöneticilere “bant dışı” ve “ışıklar kapalı” uzaktan sistem yönetimi yetenekleri sunarak, sunucularda fiziksel olarak cihazların önündeymiş gibi sorun gidermelerine olanak tanır.
Üretici yazılımı, birçok bulut hizmeti ve veri merkezi sağlayıcısına ekipman sağlayan bir düzineden fazla sunucu üreticisi tarafından kullanılır. Etkilenen satıcılar arasında AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, Hewlett-Packard Enterprise, Huawei, Ampere Computing, ASRock ve daha fazlası yer alır.
Eclypsium güvenlik araştırmacıları, AMI’nin iş ortaklarından biri olan bilgisayar donanımı devi GIGABYTE’ın ağını ihlal ettikten sonra RansomEXX fidye yazılımı çetesi tarafından çalınan AMI kaynak kodunu analiz ettikten sonra kusurları (CVE-2023-34329 ve CVE-2023-34330 olarak izlendi) buldu.
BleepingComputer’ın bildirdiği gibi, RansomEXX tehdit saldırganları çalınan dosyaları Ağustos 2021’de karanlık web veri sızıntısı sitelerinde yayınladı.
İki güvenlik açığı, saldırganların uzaktan erişime maruz kalan Redfish uzaktan yönetim arabirimleri aracılığıyla kimlik doğrulamayı atlamasına veya kötü amaçlı kod enjekte etmesine olanak tanır:
- CVE-2023-34329 – HTTP Üstbilgi Sahtekarlığı yoluyla Kimlik Doğrulamayı Atlama (9,9/10 CVSS 3,0 temel puanı)
- CVE-2023-34330 – Dynamic Redfish Extension arayüzü aracılığıyla kod enjeksiyonu (6,7/10 CVSS 3,0 taban puanı)
Bu güvenlik açıklarını birleştirerek, BMC yönetim arabirimine ağ erişimi olan ve BMC kimlik bilgilerine sahip olmayan bir uzak saldırgan, güvenlik açığı bulunan ürün yazılımı çalıştıran sunucularda uzaktan kod yürütme elde edebilir.
Bu, BMC’yi HTTP isteğinin dahili arabirimden kaynaklandığını algılaması için kandırarak gerçekleştirilir. Sonuç olarak, saldırgan, arayüz çevrimiçi olarak açığa çıkarsa, potansiyel olarak İnternet’ten bile uzaktan rasgele kod yükleyebilir ve çalıştırabilir.
Etki, sunucu tuğla oluşturma ve sonsuz yeniden başlatma döngülerini içerir
Eclypsium, “Bu güvenlik açıklarından yararlanmanın etkisi, güvenliği ihlal edilmiş sunucuların uzaktan kontrolünü, kötü amaçlı yazılımların uzaktan dağıtımını, fidye yazılımlarını ve bellenim yerleştirmeyi veya ana kart bileşenlerini (BMC veya potansiyel olarak BIOS/UEFI’yi) bloke etmeyi, sunuculara yönelik olası fiziksel hasarı (aşırı voltaj / bellenim brick’leme) ve bir kurban organizasyonun kesintiye uğratamayacağı belirsiz yeniden başlatma döngülerini içerir” dedi.
“Ayrıca, böyle bir implantın tespit edilmesinin son derece zor olabileceğini ve herhangi bir saldırgan için tek satırlık bir istismar biçiminde yeniden oluşturulmasının son derece kolay olduğunu vurgulamamız gerekiyor.”
Aralık 2022 ve Ocak 2023’te Eclypsium, güvenliği ihlal edilmiş güvenlik açıklarını ele geçirmek, engellemek veya uzaktan bulaştırmak için kullanılabilecek beş MegaRAC BMC güvenlik açığını (CVE-2022-40259, CVE-2022-40242, CVE-2022-2827, CVE-2022-26872 ve CVE-2022-40258) daha ifşa etti. Kötü amaçlı yazılım içeren sunucular.
Ayrıca, bugün açıklanan iki MegaRAC BMC ürün yazılımı güvenlik açığı, yukarıda bahsedilenlerle zincirlenebilir.
Özellikle, Redfish & API için zayıf parola karmaları içeren CVE-2022-40258, saldırganların BMC çipindeki yönetici hesapları için yönetici parolalarını kırmasına yardımcı olarak saldırıyı daha da basit hale getirebilir.
Eclypsium, “Bunların veya daha önce ifşa ettiğimiz BMC&C güvenlik açıklarının vahşi ortamda istismar edildiğine dair hiçbir kanıt görmedik” dedi.
“Ancak, tehdit aktörleri aynı kaynak verilere erişebildiğinden, bu güvenlik açıklarının silah haline gelme riski önemli ölçüde artar.”