Novas vulnerabilidades da cadeia de suprimentos BMC afetam servidores de dezenas de fabricantes

“O impacto da exploração dessas vulnerabilidades inclui controle remoto de servidores comprometidos, implantação remota de malware, ransomware e implantes de firmware e danos físicos ao servidor (bricking)”, disse a empresa de segurança de firmware e hardware Eclypsium em um relatório compartilhado com o The Hacker News.

Os BMCs são sistemas independentes privilegiados em servidores usados ​​para controlar configurações de hardware de baixo nível e gerenciar o sistema operacional do host, mesmo em cenários em que a máquina está desligada.

Esses recursos tornam os BMCs um alvo atraente para agentes de ameaças que procuram implantar malware persistente em dispositivos que podem sobreviver a reinstalações do sistema operacional e substituições de disco rígido.

Alguns dos principais fabricantes de servidores que usaram MegaRAC BMC incluem AMD, Ampere Computing, Arm, ASRock, Asus, Dell EMC, GIGABYTE, Hewlett Packard Enterprise, Huawei, Lenovo, Nvidia, Qualcomm, Quanta e Tyan.

Chamados coletivamente de BMC&C , os problemas recém-identificados podem ser explorados por invasores com acesso a interfaces de gerenciamento remoto ( IPMI ), como Redfish , potencialmente permitindo que adversários obtenham o controle dos sistemas e coloquem em risco as infraestruturas de nuvem.

O mais grave entre os problemas é o CVE-2022-40259 (pontuação CVSS: 9,9), um caso de execução arbitrária de código via Redfish API que exige que o invasor já tenha um nível mínimo de acesso no dispositivo ( privilégios de retorno de chamada ou superior) .

CVE-2022-40242 (pontuação CVSS: 8,3) refere-se a um hash para um usuário sysadmin que pode ser quebrado e abusado para obter acesso administrativo ao shell, enquanto CVE-2022-2827 (pontuação CVSS: 7,5) é um bug na redefinição de senha recurso que pode ser explorado para determinar se existe uma conta com um nome de usuário específico.

“[CVE-2022-2827] permite identificar usuários pré-existentes e não leva a um shell, mas forneceria ao invasor uma lista de alvos para ataques de força bruta ou preenchimento de credenciais”, explicaram os pesquisadores.

As descobertas mais uma vez ressaltam a importância de proteger a cadeia de suprimentos de firmware e garantir que os sistemas BMC não sejam expostos diretamente à Internet.

“Como os data centers tendem a padronizar em plataformas de hardware específicas, qualquer vulnerabilidade no nível do BMC provavelmente se aplicaria a um grande número de dispositivos e poderia afetar todo um data center e os serviços que ele oferece”, disse a empresa.

As descobertas foram divulgadas pela Binarly como várias vulnerabilidades de alto impacto em dispositivos baseados em AMI que podem resultar em corrupção de memória e execução arbitrária de código durante as primeiras fases de inicialização (ou seja, um ambiente pré-EFI).

No início de maio, a Eclypsium também descobriu o que é chamado de falha BMC ” Pantsdown ” que afeta os servidores Quanta Cloud Technology (QCT), cuja exploração bem-sucedida pode conceder aos invasores controle total sobre os dispositivos.