พบ!! ช่องโหว่อีก 2 รายการ
ใน AMI MegaRAC BMC
6 กุมภาพันธ์ 2566
มีการเปิดเผยช่องโหว่ด้านความปลอดภัยของ supply chain อีกสองรายการในส่วนของซอฟต์แวร์ AMI MegaRAC Baseboard Management Controller (BMC) ล่าสุดบริษัทรักษาความปลอดภัย Firmware (Eclypsium) กล่าวว่าช่องโหว่ทั้งสองรายการได้ถูกระงับการใช้งานแล้ว เพื่อให้ทาง AMI มีเวลาเพิ่มเติมในการออกแบบ หรือหามาตราการแก้ไขเพื่อลดผลกระทบที่เหมาะสม ซึ่งปัญหาดังกล่าวมีชื่อเรียกว่า BMC&C เป็นช่องทางให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกล และเข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาตด้วยสิทธิ์ SuperUser
ช่องโหว่ใหม่สองรายการได้ถูกติดตามเป็นหมายเลข CVE ดังนี้
ในทางกลับกันช่องโหว่ CVE-2022-26872 สามารถใช้ประโยชน์จาก HTTP API เพื่อหลอกผู้ใช้งานทำการรีเซ็ตรหัสผ่านตามขั้นตอนที่ถูกกำหนดไว้ และตั้งรหัสผ่านตามที่ผู้โจมตีต้องการ นอกจากนี้ยังเพิ่มช่องโหว่อีก 3 รายการ ที่ถูกเปิดเผยในช่วงเดือนธันวาคม 2565 ได้แก่
ในขณะนี้ยังไม่ทราบถึงผลกระทบของ BMC&C ว่ามีรัศมีของผลกระทบมากน้อยเพียงใด แต่อยู่ระหว่างการร่วมมือกันในการแก้ไขปัญหาที่เกิดขึ้น เพื่อกำหนดขอบเขตของอุปกรณ์ที่ได้รับผลกระทบ ได้แก่ Gigabyte, Hewlett Packard Enterprise, Intel และ Lenovo ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยในอุปกรณ์ NVIDIA ซึ่งคาดว่าจะได้การอัปเดต และแก้ไขในช่วงเดือนพฤษภาคม 2566
#ข่าวไซเบอร์ #ภัยคุกคาม #AMI #MageRAC #BMC #BMC&C #SuperUser #CVE
#CVE-2022-26872 #CVE-2022-40258 #CVE-2022-40259 #Intel #Lenovo #NVIDIA
#CVE-2022-40242 #CVE-2022-2827 #Gigabyte #Hewlett Packard Enterprise
#Admin shell #Redfish #API
Additional Supply Chain Vulnerabilities Uncovered in AMI MegaRAC BMC Software
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา