Vulnerabilidades adicionais da cadeia de suprimentos descobertas no software AMI MegaRAC BMC

A empresa de segurança de firmware Eclypsium disse que as duas deficiências foram retidas até agora para fornecer à AMI tempo adicional para projetar as mitigações apropriadas.

Os problemas, rastreados coletivamente como BMC&C , podem servir de trampolim para ataques cibernéticos, permitindo que os agentes de ameaças obtenham execução remota de código e acesso não autorizado a dispositivos com permissões de superusuário.

As duas novas falhas em questão são as seguintes –

• CVE-2022-26872 (pontuação CVSS: 8,3) – Interceptação de redefinição de senha via API
• CVE-2022-40258 (pontuação CVSS: 5,3) – hashes de senha fracos para Redfish e API

Especificamente, descobriu-se que o MegaRAC usa o algoritmo de hash MD5 com um salt global para dispositivos mais antigos, ou SHA-512 com sais por usuário em aparelhos mais novos, permitindo potencialmente que um agente de ameaça quebre as senhas.

O CVE-2022-26872, por outro lado, utiliza uma API HTTP para enganar um usuário a iniciar uma redefinição de senha por meio de um ataque de engenharia social e definir uma senha de escolha do adversário.

CVE-2022-26872 e CVE-2022-40258 se somam a três outras vulnerabilidades divulgadas em dezembro, incluindo CVE-2022-40259 (pontuação CVSS: 9,9), CVE-2022-40242 (pontuação CVSS: 8,3) e CVE-2022- 2827 (pontuação CVSS: 7,5).

Vale ressaltar que os pontos fracos são exploráveis ​​apenas em cenários em que os BMCs estão expostos à Internet ou em casos em que o agente da ameaça já obteve acesso inicial a um data center ou rede administrativa por outros métodos.

O raio de explosão da BMC&C é atualmente desconhecido, mas a Eclypsium disse que está trabalhando com a AMI e outras partes para determinar o escopo dos produtos e serviços afetados.

Gigabyte, Hewlett Packard Enterprise, Intel e Lenovo lançaram atualizações para corrigir os defeitos de segurança em seus dispositivos. Espera – se que a NVIDIA envie uma correção em maio de 2023.

“O impacto da exploração dessas vulnerabilidades inclui controle remoto de servidores comprometidos, implantação remota de malware, ransomware e implantes de firmware e danos físicos ao servidor (bricking)”, observou Eclypsium.

Fonte: https://thehackernews.com/