AMD、ARM、HPE、戴爾等15家服務器廠商產品曝出嚴重漏洞

全球大量云計算和數據中心正面臨一次嚴峻的服務器供應鏈安全危機。

American Megatrends的服務器遠程管理控制軟件MegaRAC BMC近日曝出多個嚴重漏洞，攻擊者可以在特定條件下執行代碼、繞過身份驗證和執行用戶枚舉。

據悉，這些漏洞是Eclypsium安全研究人員于2022年8月檢查American Megatrends泄漏的專有代碼（特別是MegaRAC BMC固件）后發現的。

MegaRAC BMC固件被至少15家服務器制造商使用，包括AMD、Ampere Computing、ASRock、Asus、ARM、Dell EMC、Gigabyte、Hewlett-Packard Enterprise、Huawei、Inspur、Lenovo、Nvidia、Qualcomm、Quanta和Tyan。

漏洞詳情

Eclypsium發現并報告給American Megatrends和受影響供應商的三個漏洞如下：

• CVE-2022-40259：由于不正確地向用戶公開命令，Redfish API存在任意代碼執行缺陷。（CVSS v3.1得分：9.9“嚴重”）
• CVE-2022-40242：系統管理員用戶的默認憑據，允許攻擊者建立管理外殼。（CVSS v3.1得分：8.3“高”）
• CVE-2022-2827：請求操作缺陷允許攻擊者枚舉用戶名并確定帳戶是否存在。（CVSS v3.1得分：7.5“高”）

三個漏洞中最嚴重的漏洞CVE-2022-40259需要事先至少訪問一個低權限帳戶才能執行API回調。

Eclypisum說：“唯一的問題是攻擊位于路徑參數中，但它不是由框架進行URL解碼的，因此需要專門設計漏洞利用，使其對每個URL和每個bash shell命令都有效。”

對于CVE-2022-40242的利用，攻擊者的唯一先決條件是能夠遠程訪問設備。

漏洞危害與緩解

前兩個漏洞非常嚴重，因為攻擊者無需進一步升級即可訪問管理shell。

如果攻擊者成功利用這些漏洞，可能會導致數據操縱、數據泄露、服務中斷、業務中斷等。

第三個漏洞不會對安全產生重大的直接影響，因為知道目標上存在哪些帳戶還不足以造成任何損害。

但是，它會為暴力破解密碼或執行憑據填充攻擊開辟道路。

Eclypsium在報告中評論說：“由于數據中心傾向于在特定硬件平臺上標準化，任何BMC級別的漏洞很可能適用于大量設備，并可能影響整個數據中心及其提供的服務。”

“托管服務和云服務商的服務器組件標準化意味著這些漏洞很容易影響數十萬甚至數百萬個系統。”

Eclypsium建議系統管理員禁用遠程管理選項，并盡可能添加遠程身份驗證步驟。

此外，管理員應盡量減少Redfish等服務器管理界面的外部暴露，并確保在所有系統上安裝最新的可用固件更新。

報告鏈接：

https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk/