近日，知名軟硬件公司American Megatrends International（安邁，簡稱AMI）開發(fā)的MegaRAC基帶管理控制器（BMC）軟件曝出了兩個新的嚴重漏洞。BMC是一種微型計算機，焊接到了服務器的主板上，使云中心及其客戶可以簡化遠程管理大批計算機的任務。這使管理員們能夠遠程重裝操作系統(tǒng)、安裝和卸載應用程序，以及控制整個系統(tǒng)的幾乎其他各個方面，甚至在關閉時也能控制。

MegaRAC BMC為管理員們提供了“帶外”和“無人值守”遠程系統(tǒng)管理功能，從而使管理員能夠?qū)Ψ掌鬟M行故障排除，就好像人在設備跟前一樣。

該固件被業(yè)內(nèi)十多家服務器制造商所使用，這些制造商為許多云服務和數(shù)據(jù)中心提供商提供設備。受影響的供應商包括AMD、華碩、ARM、Dell EMC、技嘉、聯(lián)想、英偉達、高通、HPE、華為、Ampere Computing和華擎科技等更多廠商。

Eclypsium安全公司的安全研究人員在分析了RansomEXX勒索軟件團伙竊取的AMI源代碼后，發(fā)現(xiàn)了這兩個漏洞（編號為CVE-2023-34329和CVE-2023-34330）。RansomEXX勒索軟件團伙入侵了AMI的商業(yè)合作伙伴之一：計算機硬件巨頭技嘉興的網(wǎng)絡，從而竊取了AMI源代碼。

據(jù)安全外媒報道，RansomEXX團伙的攻擊者于2021年8月在其暗網(wǎng)數(shù)據(jù)泄露網(wǎng)站上公布了竊取的文件。

這兩個安全漏洞使攻擊者能夠通過暴露在遠程訪問者面前的Redfish遠程管理接口，繞過身份驗證或注入惡意代碼：

? CVE-2023-34329——通過HTTP報頭欺騙手段繞過身份驗證（9.9/10 CVSS 3.0基礎分數(shù)）

? CVE-2023-34330——通過動態(tài)Redfish擴展接口注入代碼（6.7/10 CVSS 3.0基礎分數(shù)）

只要遠程攻擊者可以通過網(wǎng)絡訪問BMC管理接口，即使缺乏BMC憑據(jù)，如果通過結(jié)合這兩個漏洞，就可以在運行易受攻擊的固件的服務器上遠程執(zhí)行代碼。

這是通過欺騙BMC將HTTP請求視為來自內(nèi)部接口來實現(xiàn)的。因此，如果接口在網(wǎng)上暴露無遺，攻擊者就可以遠程上傳和執(zhí)行任意代碼，甚至可能從互聯(lián)網(wǎng)執(zhí)行這番操作。

影響包括服務器成廢磚和無限重啟循環(huán)

Eclypsium的研究人員在近日發(fā)布的一篇博文中寫道：“這些漏洞的嚴重程度從很高到危急不等，包括未經(jīng)身份驗證的遠程代碼執(zhí)行和未經(jīng)授權的設備訪問，擁有超級用戶的權限。它們可以被能夠訪問Redfish遠程管理接口的遠程攻擊者的利用，或者從一個受感染的主機操作系統(tǒng)來利用。Redfish是傳統(tǒng)IPMI的后續(xù)技術，它為管理服務器的基礎設施及支持現(xiàn)代數(shù)據(jù)中心的其他基礎設施提供了一種API標準。除了得到常用于現(xiàn)代超大規(guī)模環(huán)境的OpenBMC固件項目的支持外，Redfish還得到了幾乎所有主要的服務器和基礎設施供應商的支持?！?/p>

這些漏洞對云計算背后的技術供應鏈構成了重大風險。簡而言之，組件供應商中的漏洞影響許多硬件供應商，而這些漏洞又會被傳遞給許多云服務。因此，這些漏洞可能對組織直接擁有的服務器和硬件以及支持組織使用的云服務的硬件構成了風險。它們還會影響組織的上游供應商，應該與關鍵第三方進行討論，作為一般性的供應鏈風險管理盡職調(diào)查的一個環(huán)節(jié)。

Eclypsium表示：“利用這些漏洞的影響包括：遠程控制受感染的服務器，遠程部署惡意軟件，勒索軟件和固件植入或破壞主板組件（BMC或潛在的BIOS/UEFI），可能對服務器造成物理損壞（過電壓/固件破壞），以及受害者組織無法中斷的無限重啟循環(huán)?！?/p>

“我們還需要強調(diào)的一點是，這種植入極難被檢測出現(xiàn)，而且極容易被任何攻擊者以單行漏洞利用代碼的形式重新創(chuàng)建。”

在2022年12月和2023年1月，Eclypsium披露了另外五個MegaRAC BMC漏洞（編號為CVE-2022-40259、CVE-2022-40242、CVE-2022-2827、CVE-2022-26872和CVE-2022-40258），這些漏洞可以被利用來劫持、破壞或遠程感染被惡意軟件感染的服務器。

此外，今天披露的這兩個MegaRAC BMC固件漏洞可以與上面提到的這些漏洞結(jié)合使用起來。

具體來說，CVE-2022-40258（涉及Redfish & API的弱密碼散列）可以幫助攻擊者破解BMC芯片上管理員賬戶的管理員密碼，從而使攻擊更加簡單直接。

Eclypsium表示，他們還沒有看到任何證據(jù)表明這些漏洞或他們之前披露的BMC&C漏洞正在外頭被人利用。然而，由于威脅分子可以訪問相同的源數(shù)據(jù)，這些漏洞淪為攻擊武器的風險大大增加了。

本文翻譯自：https://www.bleepingcomputer.com/news/security/critical-ami-megarac-bugs-can-let-hackers-brick-vulnerable-servers/如若轉(zhuǎn)載，請注明原文地址