Критические ошибки AMI MegaRAC могут позволить хакерам заблокировать уязвимые серверы

В программном обеспечении MegaRAC Baseboard Management Controller (BMC) компании American Megatrends International, занимающейся аппаратным и программным обеспечением, были обнаружены две новые уязвимости критической степени серьезности.

Критические ошибки AMI MegaRAC могут позволить хакерам заблокировать уязвимые серверы. Фото: СС0

MegaRAC BMC предоставляет администраторам «внеполосные» и «автоматические» возможности удаленного управления системой, позволяя им устранять неполадки серверов, как если бы они физически находились перед устройствами.

Прошивка используется более чем дюжиной производителей серверов, которые поставляют оборудование многим поставщикам облачных услуг и центров обработки данных. Затронутые поставщики включают AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, Hewlett-Packard Enterprise, Huawei, Ampere Computing, ASRock и другие.

Исследователи безопасности Eclypsium обнаружили недостатки CVE-2023-34329 и CVE-2023-34330 после анализа исходного кода AMI, украденного бандой вымогателей RansomEXX после взлома сети GIGABYTE, одного из деловых партнеров AMI.

Злоумышленники RansomEXX опубликовали украденные файлы в августе 2021 года на своем сайте утечки данных в даркнете.

Две уязвимости в системе безопасности позволяют злоумышленникам обходить аутентификацию или внедрять вредоносный код через интерфейсы удаленного управления Redfish, открытые для удаленного доступа:

CVE-2023-34329 — обход аутентификации с помощью спуфинга HTTP-заголовка (базовая оценка 9,9/10 по CVSS 3.0)
CVE-2023-34330 — внедрение кода через интерфейс расширения Dynamic Redfish (базовая оценка 6,7/10 по CVSS 3.0)

Комбинируя эти уязвимости, удаленный злоумышленник, имеющий сетевой доступ к интерфейсу управления BMC и не имеющий учетных данных BMC, может получить удаленное выполнение кода на серверах с уязвимой прошивкой.

Это достигается путем обмана BMC, который воспринимает HTTP-запрос как исходящий из внутреннего интерфейса. Следовательно, злоумышленник может загружать и выполнять произвольный код удаленно, возможно, даже из Интернета, если интерфейс доступен онлайн.

Воздействие включает блокировку сервера и бесконечные циклы перезагрузки.

Из сообщения компании Eclypsium

«Последствия эксплуатации этих уязвимостей включают в себя удаленное управление скомпрометированными серверами, удаленное развертывание вредоносных программ, программ-вымогателей и прошивки, имплантирующих или блокирующих компоненты материнской платы (BMC или, возможно, BIOS/UEFI), потенциальный физический ущерб серверам (перенапряжение / блокировка прошивки) и неопределенные циклы перезагрузки, которые организация-жертва не может прервать. Мы также должны подчеркнуть, что такой имплантат может быть чрезвычайно трудно обнаружить, и любой злоумышленник может чрезвычайно легко воссоздать его в виде однострочного эксплойта».

В компании утверждают, что не имеют данных о применении уязвимости на практике. Однако, обнародование информации об уязвимостях повышает риск атак.

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит ПО российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме