เมนู

พบ!! ช่องโหว่อีก 2 รายการ
ใน AMI MegaRAC BMC

2023-02-AMI

CVE-2022-26872 (CVSS: 8.3), CVE-2022-40258 (CVSS: 5.3) ส่งผลให้ผู้โจมตีสามารถเรียกใช้งานโค้ดจากระยะไกล และเข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาตด้วยสิทธิ์ ” SuperUser ”

6 กุมภาพันธ์ 2566

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยของ supply chain อีกสองรายการในส่วนของซอฟต์แวร์ AMI MegaRAC Baseboard Management Controller (BMC) ล่าสุดบริษัทรักษาความปลอดภัย Firmware (Eclypsium) กล่าวว่าช่องโหว่ทั้งสองรายการได้ถูกระงับการใช้งานแล้ว เพื่อให้ทาง AMI มีเวลาเพิ่มเติมในการออกแบบ หรือหามาตราการแก้ไขเพื่อลดผลกระทบที่เหมาะสม ซึ่งปัญหาดังกล่าวมีชื่อเรียกว่า BMC&C เป็นช่องทางให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกล และเข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาตด้วยสิทธิ์ SuperUser

ช่องโหว่ใหม่สองรายการได้ถูกติดตามเป็นหมายเลข CVE ดังนี้

  • CVE-2022-26872 (CVSS: 8.3) การปิดกั้นการรีเซ็ตรหัสผ่าน ผ่านการใช้งาน API
  • CVE-2022-40258 (CVSS: 5.3) การตั้งค่ารหัสผ่านที่ไม่ปลอดภัย หรือคาดเดาได้ง่ายสำหรับการใช้งาน Redfish และ API

ในทางกลับกันช่องโหว่ CVE-2022-26872 สามารถใช้ประโยชน์จาก HTTP API เพื่อหลอกผู้ใช้งานทำการรีเซ็ตรหัสผ่านตามขั้นตอนที่ถูกกำหนดไว้ และตั้งรหัสผ่านตามที่ผู้โจมตีต้องการ นอกจากนี้ยังเพิ่มช่องโหว่อีก 3 รายการ ที่ถูกเปิดเผยในช่วงเดือนธันวาคม 2565 ได้แก่

  • CVE-2022-40259 (CVSS: 9.9) เป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถรันคำสั่งที่ต้องการผ่านทาง Redfish API ได้
  • CVE-2022-40242 (CVSS: 8.3) เกิดจาก Default credentials ของผู้ดูแลระบบ ทำให้ผู้โจมตีสามารถเปิดการใช้งาน Admin shell ได้
  • CVE-2022-2827 (CVSS: 7.5) เป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีสามารถ Request เพื่อค้นหาชื่อผู้ใช้ภายในระบบ ว่ามีบัญชีผู้ใช้นั้นอยู่หรือไม่

ในขณะนี้ยังไม่ทราบถึงผลกระทบของ BMC&C ว่ามีรัศมีของผลกระทบมากน้อยเพียงใด แต่อยู่ระหว่างการร่วมมือกันในการแก้ไขปัญหาที่เกิดขึ้น เพื่อกำหนดขอบเขตของอุปกรณ์ที่ได้รับผลกระทบ ได้แก่ Gigabyte, Hewlett Packard Enterprise, Intel และ Lenovo ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยในอุปกรณ์ NVIDIA ซึ่งคาดว่าจะได้การอัปเดต และแก้ไขในช่วงเดือนพฤษภาคม 2566

อ้างอิง: Bleepingcomputer.com

#ข่าวไซเบอร์ #ภัยคุกคาม #AMI #MageRAC #BMC #BMC&C #SuperUser #CVE
#CVE-2022-26872 #CVE-2022-40258 #CVE-2022-40259 #Intel #Lenovo #NVIDIA
#CVE-2022-40242 #CVE-2022-2827 #Gigabyte #Hewlett Packard Enterprise
#Admin shell #Redfish #API

Additional Supply Chain Vulnerabilities Uncovered in AMI MegaRAC BMC Software