近日，AMI MegaRAC Baseboard Management Controller (BMC)軟件中披露了兩個(gè)安全漏洞，這些漏洞一旦被攻擊者成功利用，將可遠(yuǎn)程控制服務(wù)器并直接部署惡意軟件。

Eclypsium 研究人員 Vlad Babkin 和 Scott Scheferman 在與 The Hacker News 分享的一份報(bào)告中說：這些新漏洞的嚴(yán)重程度從低到高不等，包括未經(jīng)驗(yàn)證的遠(yuǎn)程代碼執(zhí)行和具有超級(jí)用戶權(quán)限的未經(jīng)授權(quán)設(shè)備訪問。

能夠訪問 Redfish 遠(yuǎn)程管理界面的遠(yuǎn)程攻擊者，或者從受損的主機(jī)操作系統(tǒng)，都可以利用這些漏洞。

更糟糕的是，這些缺陷也可能被“武器化”，使持久固件植入物不受操作系統(tǒng)重新安裝和硬盤驅(qū)動(dòng)器更換、磚砌主板組件的影響，通過過電壓攻擊造成物理損壞，并引發(fā)無限期的重新啟動(dòng)循環(huán)。

研究人員指出：隨著攻擊者將重點(diǎn)從面向用戶的操作系統(tǒng)轉(zhuǎn)移到硬件和計(jì)算信任所依賴的底層嵌入式代碼，入侵行為變得更難檢測(cè)，補(bǔ)救措施也更加復(fù)雜。

此次Eclypsium的發(fā)現(xiàn)基于RansomExx組織在2021年8月針對(duì)硬件制造商技嘉的勒索軟件攻擊中泄露的AMI固件的分析。此次的新漏洞被命名為BMC&C，其中一些漏洞是固件安全公司在2022年12月（CVE-2022-40259、CVE-2022-40242和CVE-2022-2827）和2023年1月（CVE-2022-26872和CVE-2022-40258）披露的。

新漏洞列表如下：

• CVE-2023-34329 (CVSS 得分：9.1) - 通過 HTTP 報(bào)頭欺騙進(jìn)行身份驗(yàn)證繞過
• CVE-2023-34330（CVSS 得分：8.2）--通過動(dòng)態(tài) Redfish 擴(kuò)展接口注入代碼

當(dāng)這兩個(gè)漏洞 一并出現(xiàn)的時(shí)候，其嚴(yán)重程度評(píng)分達(dá)到 10.0，將允許對(duì)手繞過 Redfish 身份驗(yàn)證，并以最高權(quán)限在 BMC 芯片上遠(yuǎn)程執(zhí)行任意代碼。此外，上述漏洞還可與 CVE-2022-40258 串聯(lián)起來，以用來破解 BMC 芯片上管理員賬戶的密碼。

值得注意的是，在這個(gè)過程中，可能還涉及到惡意軟件被非法安裝的相關(guān)問題。這些惡意軟件可以在安全軟件的監(jiān)視下不僅可以進(jìn)行長(zhǎng)期的網(wǎng)絡(luò)間諜活動(dòng)，甚至還可以通過電源管理篡改技術(shù)（如 PMFault）直接破壞 CPU 。

雖然沒有證據(jù)表明這些漏洞已被廣泛利用，但 MegaRAC BMC（主要供應(yīng)商出貨的數(shù)百萬臺(tái)設(shè)備中的關(guān)鍵供應(yīng)鏈組件）確實(shí)已經(jīng)成為了威脅行為者的重要目標(biāo)。

研究人員表示，這些漏洞給那些以云計(jì)算為基礎(chǔ)的技術(shù)供應(yīng)鏈帶來了巨大風(fēng)險(xiǎn)。簡(jiǎn)單來說，就是一個(gè)組件供應(yīng)商的漏洞可能會(huì)影響到許多其他的硬件供應(yīng)商，而這些硬件供應(yīng)商的漏洞又會(huì)傳遞給許多云計(jì)算服務(wù)。

這些漏洞可能會(huì)對(duì)企業(yè)的服務(wù)器、硬件以及支持其使用的云服務(wù)的硬件構(gòu)成風(fēng)險(xiǎn)。