MegaRAC BMC 为管理员们提供了 " 带外 " 和 " 无人值守 " 远程系统管理功能,从而使管理员能够对服务器进行故障排除,就好像人在设备跟前一样。
该固件被业内十多家服务器制造商所使用,这些制造商为许多云服务和数据中心提供商提供设备。受影响的供应商包括 AMD、华硕、ARM、Dell EMC、技嘉、联想、英伟达、高通、HPE、华为、Ampere Computing 和华擎科技等更多厂商。
Eclypsium 安全公司的安全研究人员在分析了 RansomEXX 勒索软件团伙窃取的 AMI 源代码后,发现了这两个漏洞(编号为 CVE-2023-34329 和 CVE-2023-34330)。RansomEXX 勒索软件团伙入侵了 AMI 的商业合作伙伴之一:计算机硬件巨头技嘉兴的网络,从而窃取了 AMI 源代码。
(资料图)
据安全外媒报道,RansomEXX 团伙的攻击者于 2021 年 8 月在其暗网数据泄露网站上公布了窃取的文件。
这两个安全漏洞使攻击者能够通过暴露在远程访问者面前的 Redfish 远程管理接口,绕过身份验证或注入恶意代码:
CVE-2023-34329 ——通过 HTTP 报头欺骗手段绕过身份验证(9.9/10 CVSS 3.0 基础分数)
CVE-2023-34330 ——通过动态 Redfish 扩展接口注入代码(6.7/10 CVSS 3.0 基础分数)
只要远程攻击者可以通过网络访问 BMC 管理接口,即使缺乏 BMC 凭据,如果通过结合这两个漏洞,就可以在运行易受攻击的固件的服务器上远程执行代码。
这是通过欺骗 BMC 将 HTTP 请求视为来自内部接口来实现的。因此,如果接口在网上暴露无遗,攻击者就可以远程上传和执行任意代码,甚至可能从互联网执行这番操作。
影响包括服务器成废砖和无限重启循环
Eclypsium 的研究人员在近日发布的一篇博文中写道:" 这些漏洞的严重程度从很高到危急不等,包括未经身份验证的远程代码执行和未经授权的设备访问,拥有超级用户的权限。它们可以被能够访问 Redfish 远程管理接口的远程攻击者的利用,或者从一个受感染的主机操作系统来利用。Redfish 是传统 IPMI 的后续技术,它为管理服务器的基础设施及支持现代数据中心的其他基础设施提供了一种 API 标准。除了得到常用于现代超大规模环境的 OpenBMC 固件项目的支持外,Redfish 还得到了几乎所有主要的服务器和基础设施供应商的支持。"
这些漏洞对云计算背后的技术供应链构成了重大风险。简而言之,组件供应商中的漏洞影响许多硬件供应商,而这些漏洞又会被传递给许多云服务。因此,这些漏洞可能对组织直接拥有的服务器和硬件以及支持组织使用的云服务的硬件构成了风险。它们还会影响组织的上游供应商,应该与关键第三方进行讨论,作为一般性的供应链风险管理尽职调查的一个环节。
Eclypsium 表示:" 利用这些漏洞的影响包括:远程控制受感染的服务器,远程部署恶意软件,勒索软件和固件植入或破坏主板组件(BMC 或潜在的 BIOS/UEFI),可能对服务器造成物理损坏(过电压 / 固件破坏),以及受害者组织无法中断的无限重启循环。"
" 我们还需要强调的一点是,这种植入极难被检测出现,而且极容易被任何攻击者以单行漏洞利用代码的形式重新创建。"
在 2022 年 12 月和 2023 年 1 月,Eclypsium 披露了另外五个 MegaRAC BMC 漏洞(编号为 CVE-2022-40259、CVE-2022-40242、CVE-2022-2827、CVE-2022-26872 和 CVE-2022-40258),这些漏洞可以被利用来劫持、破坏或远程感染被恶意软件感染的服务器。
此外,今天披露的这两个 MegaRAC BMC 固件漏洞可以与上面提到的这些漏洞结合使用起来。
具体来说,CVE-2022-40258(涉及 Redfish & API 的弱密码散列)可以帮助攻击者破解 BMC 芯片上管理员账户的管理员密码,从而使攻击更加简单直接。
Eclypsium 表示,他们还没有看到任何证据表明这些漏洞或他们之前披露的 BMC&C 漏洞正在外头被人利用。然而,由于威胁分子可以访问相同的源数据,这些漏洞沦为攻击武器的风险大大增加了。
关键词:
