American Megatrends (AMI) MegaRAC Anakart Yönetim Denetleyicisi (BMC) yazılımında, savunmasız sunucularda uzaktan kod yürütülmesine yol açabilecek üç farklı güvenlik açığı açıklandı.
Firmware ve donanım güvenlik şirketi Eclypsium, The Hacker News ile paylaşılan bir raporda, “Bu güvenlik açıklarından yararlanmanın etkisi, güvenliği ihlal edilmiş sunucuların uzaktan kontrolü, kötü amaçlı yazılımların uzaktan dağıtımı, fidye yazılımı ve sabit yazılım implantları ve sunucu fiziksel hasarını (tuğlalama) içerir.”
BMC’ler, makinenin kapalı olduğu senaryolarda bile düşük seviyeli donanım ayarlarını kontrol etmek ve ana bilgisayar işletim sistemini yönetmek için kullanılan, sunucular içindeki ayrıcalıklı bağımsız sistemlerdir.
Bu yetenekler, BMC’leri, işletim sistemi yeniden yüklemelerinden ve sabit sürücü değiştirmelerinden sağ çıkabilen cihazlara kalıcı kötü amaçlı yazılım yerleştirmek isteyen tehdit aktörleri için cazip bir hedef haline getiriyor.
Toplu olarak adlandırılan BMC&CRedfish gibi uzaktan yönetim arabirimlerine (IPMI) erişimi olan saldırganlar tarafından yeni tanımlanan sorunlardan yararlanılabilir ve potansiyel olarak saldırganların sistemlerin kontrolünü ele geçirmesine ve bulut altyapılarını riske atmasına olanak tanır.
Sorunlar arasında en ciddi olanı, saldırganın cihazda zaten minimum düzeyde erişime (Geri arama ayrıcalıkları veya daha yüksek) sahip olmasını gerektiren Redfish API aracılığıyla rastgele kod yürütme durumu olan CVE-2022-40259’dur (CVSS puanı: 9,9). .
CVE-2022-40242 (CVSS puanı: 8.3), bir sysadmin kullanıcısı için, idari kabuk erişimi elde etmek için kırılabilen ve kötüye kullanılabilen bir hash ile ilgilidir; CVE-2022-2827 (CVSS puanı: 7.5), parola sıfırlamada bir hatadır Belirli bir kullanıcı adına sahip bir hesabın var olup olmadığını belirlemek için kullanılabilen özellik.
“[CVE-2022-2827] önceden var olan kullanıcıların yerini belirlemeye izin verir ve bir kabuğa yönlendirmez, ancak bir saldırgana kaba kuvvet veya kimlik bilgisi doldurma saldırıları için bir hedef listesi sağlar” dedi.
Bulgular, ürün yazılımı tedarik zincirini güvence altına almanın ve BMC sistemlerinin doğrudan internete maruz kalmamasını sağlamanın önemini bir kez daha vurguluyor.
Şirket, “Veri merkezleri belirli donanım platformlarında standartlaşma eğiliminde olduğundan, BMC düzeyindeki herhangi bir güvenlik açığı büyük olasılıkla çok sayıda cihaz için geçerli olacak ve potansiyel olarak tüm bir veri merkezini ve sunduğu hizmetleri etkileyebilir” dedi.
Bulgular, Binarly’nin AMI tabanlı cihazlarda belleğin bozulmasına ve erken önyükleme aşamalarında (yani EFI öncesi bir ortam) rastgele kod yürütülmesine neden olabilecek çok sayıda yüksek etkili güvenlik açığını ifşa etmesiyle ortaya çıktı.
Bu Mayıs ayının başlarında Eclypsium, Quanta Bulut Teknolojisi (QCT) sunucularını etkileyen ve başarılı bir şekilde kullanılması saldırganlara cihazlar üzerinde tam kontrol sağlayabilecek “Pantsdown” BMC kusurunu da ortaya çıkardı.