Vulnerabilidades adicionais da cadeia de suprimentos descobertas no software AMI MegaRAC BMC

Mais duas falhas de segurança da cadeia de suprimentos foram divulgadas no software AMI MegaRAC Baseboard Management Controller (BMC), quase dois meses depois que três vulnerabilidades de segurança foram reveladas no mesmo produto.

A empresa de segurança de firmware Eclypsium disse que as duas deficiências foram retidas até agora para fornecer à AMI tempo adicional para projetar as mitigações apropriadas.

Os problemas, rastreados coletivamente como BMC&C , podem servir de trampolim para ataques cibernéticos, permitindo que os agentes de ameaças obtenham execução remota de código e acesso não autorizado a dispositivos com permissões de superusuário.

As duas novas falhas em questão são as seguintes –

  • CVE-2022-26872 (pontuação CVSS: 8,3) – Interceptação de redefinição de senha via API
  • CVE-2022-40258 (pontuação CVSS: 5,3) – hashes de senha fracos para Redfish e API

Especificamente, descobriu-se que o MegaRAC usa o algoritmo de hash MD5 com um salt global para dispositivos mais antigos, ou SHA-512 com sais por usuário em aparelhos mais novos, permitindo potencialmente que um agente de ameaça quebre as senhas.

O CVE-2022-26872, por outro lado, utiliza uma API HTTP para enganar um usuário a iniciar uma redefinição de senha por meio de um ataque de engenharia social e definir uma senha de escolha do adversário.

CVE-2022-26872 e CVE-2022-40258 se somam a três outras vulnerabilidades divulgadas em dezembro, incluindo CVE-2022-40259 (pontuação CVSS: 9,9), CVE-2022-40242 (pontuação CVSS: 8,3) e CVE-2022- 2827 (pontuação CVSS: 7,5).

Vale ressaltar que os pontos fracos são exploráveis ​​apenas em cenários em que os BMCs estão expostos à Internet ou em casos em que o agente da ameaça já obteve acesso inicial a um data center ou rede administrativa por outros métodos.

O raio de explosão da BMC&C é atualmente desconhecido, mas a Eclypsium disse que está trabalhando com a AMI e outras partes para determinar o escopo dos produtos e serviços afetados.

Gigabyte, Hewlett Packard Enterprise, Intel e Lenovo lançaram atualizações para corrigir os defeitos de segurança em seus dispositivos. Espera – se que a NVIDIA envie uma correção em maio de 2023.

“O impacto da exploração dessas vulnerabilidades inclui controle remoto de servidores comprometidos, implantação remota de malware, ransomware e implantes de firmware e danos físicos ao servidor (bricking)”, observou Eclypsium.

Fonte: https://thehackernews.com/