近日，知名軟硬件公司American Megatrends International（安邁，簡(jiǎn)稱AMI）開(kāi)發(fā)的MegaRAC基帶管理控制器（BMC）軟件曝出了兩個(gè)新的嚴(yán)重漏洞。BMC是一種微型計(jì)算機(jī)，焊接到了服務(wù)器的主板上，使云中心及其客戶可以簡(jiǎn)化遠(yuǎn)程管理大批計(jì)算機(jī)的任務(wù)。這使管理員們能夠遠(yuǎn)程重裝操作系統(tǒng)、安裝和卸載應(yīng)用程序，以及控制整個(gè)系統(tǒng)的幾乎其他各個(gè)方面，甚至在關(guān)閉時(shí)也能控制。

MegaRAC BMC為管理員們提供了“帶外”和“無(wú)人值守”遠(yuǎn)程系統(tǒng)管理功能，從而使管理員能夠?qū)Ψ?wù)器進(jìn)行故障排除，就好像人在設(shè)備跟前一樣。

該固件被業(yè)內(nèi)十多家服務(wù)器制造商所使用，這些制造商為許多云服務(wù)和數(shù)據(jù)中心提供商提供設(shè)備。受影響的供應(yīng)商包括AMD、華碩、ARM、Dell EMC、技嘉、聯(lián)想、英偉達(dá)、高通、HPE、華為、Ampere Computing和華擎科技等更多廠商。

Eclypsium安全公司的安全研究人員在分析了RansomEXX勒索軟件團(tuán)伙竊取的AMI源代碼后，發(fā)現(xiàn)了這兩個(gè)漏洞（編號(hào)為CVE-2023-34329和CVE-2023-34330）。RansomEXX勒索軟件團(tuán)伙入侵了AMI的商業(yè)合作伙伴之一：計(jì)算機(jī)硬件巨頭技嘉興的網(wǎng)絡(luò)，從而竊取了AMI源代碼。

據(jù)安全外媒報(bào)道，RansomEXX團(tuán)伙的攻擊者于2021年8月在其暗網(wǎng)數(shù)據(jù)泄露網(wǎng)站上公布了竊取的文件。

這兩個(gè)安全漏洞使攻擊者能夠通過(guò)暴露在遠(yuǎn)程訪問(wèn)者面前的Redfish遠(yuǎn)程管理接口，繞過(guò)身份驗(yàn)證或注入惡意代碼：

? CVE-2023-34329——通過(guò)HTTP報(bào)頭欺騙手段繞過(guò)身份驗(yàn)證（9.9/10 CVSS 3.0基礎(chǔ)分?jǐn)?shù)）

? CVE-2023-34330——通過(guò)動(dòng)態(tài)Redfish擴(kuò)展接口注入代碼（6.7/10 CVSS 3.0基礎(chǔ)分?jǐn)?shù)）

只要遠(yuǎn)程攻擊者可以通過(guò)網(wǎng)絡(luò)訪問(wèn)BMC管理接口，即使缺乏BMC憑據(jù)，如果通過(guò)結(jié)合這兩個(gè)漏洞，就可以在運(yùn)行易受攻擊的固件的服務(wù)器上遠(yuǎn)程執(zhí)行代碼。

這是通過(guò)欺騙BMC將HTTP請(qǐng)求視為來(lái)自內(nèi)部接口來(lái)實(shí)現(xiàn)的。因此，如果接口在網(wǎng)上暴露無(wú)遺，攻擊者就可以遠(yuǎn)程上傳和執(zhí)行任意代碼，甚至可能從互聯(lián)網(wǎng)執(zhí)行這番操作。

影響包括服務(wù)器成廢磚和無(wú)限重啟循環(huán)

Eclypsium的研究人員在近日發(fā)布的一篇博文中寫道：“這些漏洞的嚴(yán)重程度從很高到危急不等，包括未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行和未經(jīng)授權(quán)的設(shè)備訪問(wèn)，擁有超級(jí)用戶的權(quán)限。它們可以被能夠訪問(wèn)Redfish遠(yuǎn)程管理接口的遠(yuǎn)程攻擊者的利用，或者從一個(gè)受感染的主機(jī)操作系統(tǒng)來(lái)利用。Redfish是傳統(tǒng)IPMI的后續(xù)技術(shù)，它為管理服務(wù)器的基礎(chǔ)設(shè)施及支持現(xiàn)代數(shù)據(jù)中心的其他基礎(chǔ)設(shè)施提供了一種API標(biāo)準(zhǔn)。除了得到常用于現(xiàn)代超大規(guī)模環(huán)境的OpenBMC固件項(xiàng)目的支持外，Redfish還得到了幾乎所有主要的服務(wù)器和基礎(chǔ)設(shè)施供應(yīng)商的支持。”

這些漏洞對(duì)云計(jì)算背后的技術(shù)供應(yīng)鏈構(gòu)成了重大風(fēng)險(xiǎn)。簡(jiǎn)而言之，組件供應(yīng)商中的漏洞影響許多硬件供應(yīng)商，而這些漏洞又會(huì)被傳遞給許多云服務(wù)。因此，這些漏洞可能對(duì)組織直接擁有的服務(wù)器和硬件以及支持組織使用的云服務(wù)的硬件構(gòu)成了風(fēng)險(xiǎn)。它們還會(huì)影響組織的上游供應(yīng)商，應(yīng)該與關(guān)鍵第三方進(jìn)行討論，作為一般性的供應(yīng)鏈風(fēng)險(xiǎn)管理盡職調(diào)查的一個(gè)環(huán)節(jié)。

Eclypsium表示：“利用這些漏洞的影響包括：遠(yuǎn)程控制受感染的服務(wù)器，遠(yuǎn)程部署惡意軟件，勒索軟件和固件植入或破壞主板組件（BMC或潛在的BIOS/UEFI），可能對(duì)服務(wù)器造成物理?yè)p壞（過(guò)電壓/固件破壞），以及受害者組織無(wú)法中斷的無(wú)限重啟循環(huán)。”

“我們還需要強(qiáng)調(diào)的一點(diǎn)是，這種植入極難被檢測(cè)出現(xiàn)，而且極容易被任何攻擊者以單行漏洞利用代碼的形式重新創(chuàng)建。”

在2022年12月和2023年1月，Eclypsium披露了另外五個(gè)MegaRAC BMC漏洞（編號(hào)為CVE-2022-40259、CVE-2022-40242、CVE-2022-2827、CVE-2022-26872和CVE-2022-40258），這些漏洞可以被利用來(lái)劫持、破壞或遠(yuǎn)程感染被惡意軟件感染的服務(wù)器。

此外，今天披露的這兩個(gè)MegaRAC BMC固件漏洞可以與上面提到的這些漏洞結(jié)合使用起來(lái)。

具體來(lái)說(shuō)，CVE-2022-40258（涉及Redfish & API的弱密碼散列）可以幫助攻擊者破解BMC芯片上管理員賬戶的管理員密碼，從而使攻擊更加簡(jiǎn)單直接。

Eclypsium表示，他們還沒(méi)有看到任何證據(jù)表明這些漏洞或他們之前披露的BMC&C漏洞正在外頭被人利用。然而，由于威脅分子可以訪問(wèn)相同的源數(shù)據(jù)，這些漏洞淪為攻擊武器的風(fēng)險(xiǎn)大大增加了。

本文翻譯自：https://www.bleepingcomputer.com/news/security/critical-ami-megarac-bugs-can-let-hackers-brick-vulnerable-servers/如若轉(zhuǎn)載，請(qǐng)注明原文地址