In der MegaRAC Baseboard Management Controller (BMC)-Software von American Megatrends (AMI) wurden drei verschiedene Sicherheitslücken entdeckt, die auf anfälligen Servern zur Remotecodeausführung führen können.
„Die Auswirkungen der Ausnutzung dieser Schwachstellen umfassen die Fernsteuerung kompromittierter Server, die Remote-Installation von Malware, Ransomware und Firmware-Implantaten sowie die physische Beschädigung von Servern (Bricking)“, so das Firmware- und Hardware-Sicherheitsunternehmen Eclypsium in einem Bericht an The Hacker News.
BMCs sind privilegierte, unabhängige Systeme innerhalb von Servern, die zur Steuerung von Low-Level-Hardware-Einstellungen und zur Verwaltung des Host-Betriebssystems verwendet werden, selbst in Szenarien, in denen der Rechner ausgeschaltet ist.
Diese Fähigkeiten machen BMCs zu einem verlockenden Ziel für Bedrohungsakteure, die persistente Malware auf Geräten einschleusen wollen, die Neuinstallationen des Betriebssystems und den Austausch von Festplatten überleben können.
Die unter dem Namen BMC&C zusammengefassten neu identifizierten Schwachstellen können von Angreifern ausgenutzt werden, die Zugang zu Remote-Management-Schnittstellen (IPMI) wie Redfish haben, wodurch Angreifer möglicherweise die Kontrolle über die Systeme erlangen und Cloud-Infrastrukturen gefährden können.
Das schwerwiegendste der Probleme ist CVE-2022-40259 (CVSS-Score: 9.9), ein Fall von beliebiger Codeausführung über die Redfish-API, bei dem der Angreifer bereits ein Mindestmaß an Zugriff auf das Gerät haben muss (Callback-Rechte oder höher).
CVE-2022-40242 (CVSS-Score: 8.3) bezieht sich auf einen Hash für einen Sysadmin-Benutzer, der geknackt und missbraucht werden kann, um administrativen Shell-Zugang zu erlangen, während CVE-2022-2827 (CVSS-Score: 7.5) ein Fehler in der Funktion zum Zurücksetzen von Passwörtern ist, der ausgenutzt werden kann, um festzustellen, ob ein Konto mit einem bestimmten Benutzernamen existiert.
„[CVE-2022-2827] ermöglicht es, bereits existierende Benutzer ausfindig zu machen und führt nicht in eine Shell, sondern würde einem Angreifer eine Liste von Zielen für Brute-Force- oder Credential-Stuffing-Angriffe liefern“, erklären die Forscher.
Die Ergebnisse unterstreichen einmal mehr, wie wichtig es ist, die Firmware-Lieferkette zu sichern und sicherzustellen, dass BMC-Systeme nicht direkt dem Internet ausgesetzt sind.
„Da Rechenzentren dazu neigen, bestimmte Hardware-Plattformen zu standardisieren, würde eine Schwachstelle auf BMC-Ebene höchstwahrscheinlich eine große Anzahl von Geräten betreffen und könnte möglicherweise ein ganzes Rechenzentrum und die von ihm angebotenen Dienste beeinträchtigen“, so das Unternehmen.
Die Ergebnisse kommen zu einem Zeitpunkt, an dem Binarly mehrere schwerwiegende Schwachstellen in AMI-basierten Geräten aufgedeckt hat, die in frühen Boot-Phasen (d. h. in einer Prä-EFI-Umgebung) zu Speicherbeschädigungen und der Ausführung von beliebigem Code führen können.
Anfang Mai dieses Jahres entdeckte Eclypsium außerdem eine so genannte „Pantsdown“-Schwachstelle in BMC-Servern von Quanta Cloud Technology (QCT), deren erfolgreiche Ausnutzung Angreifern die vollständige Kontrolle über die Geräte ermöglichen könnte.
Haben Sie diesen Artikel interessant gefunden? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Russische Gerichte im Visier der neuen CryWiper Data Wiper Malware, die sich als Ransomware ausgibt