O nouă vulnerabilitate de gravitate critică descoperită în software-ul MegaRAC Baseboard Management Controller (BMC) de la American Megatrends International poate permite atacatorilor să preia controlul și să distrugă serverele vulnerabile.
MegaRAC BMC oferă capacități de management de sistem remote „lights-out” și „out-of-band” care ajută administratorii să depaneze serverele ca și cum ar fi fizic în fața dispozitivelor. Firmware-ul este utilizat de peste o duzină de producători de servere care furnizează echipamente multor furnizori de servicii cloud și centre de date, inclusiv HPE, Asus, ASRock și alții.
Atacatorii remote neautentificați pot exploata această vulnerabilitate de securitate de gravitate maximă (urmarită ca CVE-2024-54085) în atacuri de complexitate redusă care nu necesită interacțiunea utilizatorului.
„Un atacator local sau remote poate exploata vulnerabilitatea accesând interfețele de management remote (Redfish) sau gazda internă către interfața BMC (Redfish),” a explicat Eclypsium într-un raport dintr-o zi de marți.
„Exploatarea acestei vulnerabilități permite unui atacator să controleze în mod remote serverul compromis, să implementeze malware, ransomware, să manipuleze firmware-ul, să distrugă componente ale plăcii de bază (BMC sau potențial BIOS/UEFI), să provoace daune fizice serverului (supratensiune / distrugere), și bucle de repornire indefinite pe care o victimă nu le poate opri.”
Cercetătorii de securitate de la Eclypsium au descoperit autentificarea bypass CVE-2024-54085 în timp ce analizau patch-urile emise de AMI pentru CVE-2023-34329, un alt bypass de autentificare dezvăluit de compania de securitate cibernetică în iulie 2023.
În timp ce Eclypsium a confirmat că HPE Cray XD670, Asus RS720A-E11-RS24U și ASRockRack sunt vulnerabile la atacurile CVE-2024-54085 dacă nu sunt remediate, a adăugat și că „există probabil și alte dispozitive și/sau producători afectați.”
Folosind Shodan, cercetătorii de securitate au găsit peste 1.000 de servere online care sunt expuse potențial la atacuri prin Internet.
Ca parte a cercetării lor asupra vulnerabilităților MegaRAC (urmărite colectiv ca BMC&C), analiștii de la Eclypsium au dezvăluit cinci alte probleme în decembrie 2022 și ianuarie 2023 (CVE-2022-40259, CVE-2022-40242, CVE-2022-2827, CVE-2022-26872 și CVE-2022-40258) care pot fi exploatate pentru a prelua controlul, a distruge sau a infecta în mod remote serverele compromise cu malware.
În iulie 2023, au descoperit și o vulnerabilitate de injectare de cod (CVE-2023-34330) care poate fi folosită în atacuri pentru a injecta coduri malitioase prin interfețele de management remote Redfish expuse la accesul de la distanță și care pot fi legate de bug-urile descoperite anterior.
Mai precis, CVE-2022-40258, care implică hash-uri slabe de parole pentru Redfish & API, poate ajuta atacatorii să spargă parolele administratorului pentru conturile de admin al cipului BMC, făcând atacul și mai simplu.
În timp ce Eclypsium a spus că vulnerabilitatea de autentificare CVE-2024-54085 nu a fost folosită în atacuri, și nu s-au găsit exploatații în sălbăticie, a adăugat și că crearea unei exploatații este „nu este provocatoare” având în vedere că fișierele firmware-ului nu sunt criptate.
Apărătorii rețelei sunt sfătuiți să aplice patch-urile lansate acum o săptămână, pe 11 martie, de către AMI, Lenovo și HPE cât mai curând posibil, să nu expună instanțele AMI MegaRAC online și să monitorizeze jurnalele serverului pentru activități suspecte.
„Din cunoștința noastră, vulnerabilitatea afectează doar stiva de software BMC a AMI. Cu toate acestea, deoarece AMI se află în vârful lanțului de aprovizionare BIOS, impactul în aval afectează peste o duzină de producători,” a adăugat Eclypsium astăzi.
„AMI a lansat patch-uri către clienții săi producători de calculatoare OEM. Acei furnizori trebuie să incorporeze remedierile în actualizările și să publice notificări către clienții lor. Rețineți că remedierea acestor vulnerabilități este un exercițiu non-trivial, necesitând oprirea dispozitivului.”
Leave a Reply