A empresa de segurança de firmware Eclypsium disse que as duas deficiências foram retidas até agora para fornecer à AMI tempo adicional para projetar as mitigações apropriadas.
Os problemas, rastreados coletivamente como BMC&C , podem servir de trampolim para ataques cibernéticos, permitindo que os agentes de ameaças obtenham execução remota de código e acesso não autorizado a dispositivos com permissões de superusuário.
As duas novas falhas em questão são as seguintes –
Especificamente, descobriu-se que o MegaRAC usa o algoritmo de hash MD5 com um salt global para dispositivos mais antigos, ou SHA-512 com sais por usuário em aparelhos mais novos, permitindo potencialmente que um agente de ameaça quebre as senhas.
O CVE-2022-26872, por outro lado, utiliza uma API HTTP para enganar um usuário a iniciar uma redefinição de senha por meio de um ataque de engenharia social e definir uma senha de escolha do adversário.
CVE-2022-26872 e CVE-2022-40258 se somam a três outras vulnerabilidades divulgadas em dezembro, incluindo CVE-2022-40259 (pontuação CVSS: 9,9), CVE-2022-40242 (pontuação CVSS: 8,3) e CVE-2022- 2827 (pontuação CVSS: 7,5).
Vale ressaltar que os pontos fracos são exploráveis apenas em cenários em que os BMCs estão expostos à Internet ou em casos em que o agente da ameaça já obteve acesso inicial a um data center ou rede administrativa por outros métodos.
O raio de explosão da BMC&C é atualmente desconhecido, mas a Eclypsium disse que está trabalhando com a AMI e outras partes para determinar o escopo dos produtos e serviços afetados.
Gigabyte, Hewlett Packard Enterprise, Intel e Lenovo lançaram atualizações para corrigir os defeitos de segurança em seus dispositivos. Espera – se que a NVIDIA envie uma correção em maio de 2023.
“O impacto da exploração dessas vulnerabilidades inclui controle remoto de servidores comprometidos, implantação remota de malware, ransomware e implantes de firmware e danos físicos ao servidor (bricking)”, observou Eclypsium.
Fonte: https://thehackernews.com/
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…