Amerikan Megatrends Megarac süpürgelik yönetim kontrolörü (BMC) yazılımında üç güvenlik açığı birçok bulut hizmeti ve veri merkezi sağlayıcısında kullanılan etki sunucusu ekipmanı.
Kusurlar Ağustos 2022'de Eclypsium tarafından keşfedildi ve belirli koşullar altında saldırganların kod yürütmesini, kimlik doğrulamasını atlamalarını ve kullanıcı numaralandırmasını gerçekleştirmesini sağlayabilir.
Araştırmacılar, özellikle Megarac BMC ürün yazılımını, özellikle Amerikan Megatrends'in sızdırılmış özel kodunu inceledikten sonra kusurları keşfettiler.
Megarac BMC, tam "bant dışı" ve "ışıkların dışına" uzaktan sistem yönetimi için bir çözümdür ve yöneticilerin sunucuları cihazın önünde duruyormuş gibi uzaktan gidermesine izin verir.
Megarac BMC ürün yazılımı, AMD, AMPERE Computing, Asrock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Insur, Lenovo, Nvidia, Qualcomm, Quanta ve Tyan gibi en az 15 sunucu üreticisi tarafından kullanılır.
Eclypsium tarafından keşfedilen ve Amerikan Megatrends ve etkilenen satıcılara bildirilen üç güvenlik açığı şunlardır:
Üç kusurdan en şiddetli olan CVE-2022-40259, API geri çağrısını gerçekleştirmek için en az düşük ayrı bir hesaba önceden erişim gerektirir.
Eclypisum, “Tek komplikasyon, yol parametresinde saldırıdır, ancak çerçeve tarafından urldecole edilmemiştir, bu nedenle istismarın hem URL başına geçerli hem de BASH kabuğu komutu başına geçerli olması için özel olarak hazırlanması gerekir” diyor Eclypisum.
CVE-2022-40242'nin sömürülmesi için, saldırgan için tek ön koşul cihaza uzaktan erişime sahip olmaktır.
İlk iki kusur, saldırganlara daha fazla yükseliş gerektirmeden idari bir kabuğa erişim sağlaması nedeniyle çok şiddetlidir.
Güvenlik açıkları, veri manipülasyonuna, veri ihlallerine, hizmet kesintisine, iş kesintisine ve başarılı bir şekilde kaldırılırsa daha fazlasına neden olabilir.
Üçüncü kusurun önemli bir doğrudan güvenlik etkisi yoktur, çünkü hedefte hangi hesapların olduğunu bilmek herhangi bir hasara neden olmak için yeterli değildir.
Bununla birlikte, parolaları zorlayan veya kimlik bilgisi-hileli saldırılar gerçekleştirmenin yolunu açacaktır.
Raporda, “Veri merkezleri belirli donanım platformlarında standartlaştırma eğiliminde olduğundan, BMC düzeyinde herhangi bir güvenlik açığı büyük olasılıkla çok sayıda cihaz için geçerli olacak ve tüm veri merkezini ve sunduğu hizmetleri potansiyel olarak etkileyebilir” diyor.
“Sunucu bileşenlerinde barındırma ve bulut sağlayıcılarının standardizasyonu, bu güvenlik açıklarının yüz binlerce, muhtemelen milyonlarca sistemi kolayca etkileyebileceği anlamına geliyor.”
Sistem yöneticilerinin uzaktan yönetim seçeneklerini devre dışı bırakması ve mümkün olduğunca uzaktan kimlik doğrulama adımları eklemesi önerilir.
Ayrıca, yöneticiler Redfish gibi sunucu yönetimi arayüzlerinin harici pozlamasını en aza indirmeli ve mevcut en son ürün yazılımı güncellemelerinin tüm sistemlere yüklenmesini sağlamalıdır.
Yeni Redigo kötü amaçlı yazılım, Redis sunucularında gizli arka kapı bırakıyor
Acer, güvenli önyüklemeyi devre dışı bırakmak için kullanılabilecek UEFI hatalarını düzeltiyor
Lenovo, UEFI Güvenli Önyükleme devre dışı bırakmak için kullanılabilecek kusurları düzeltiyor
Hyundai App hataları, bilgisayar korsanlarının uzaktan kilidini açmasına izin verdi, arabaları başlat
2M yüklemelerle Android uzaktan klavye uygulamalarında kritik RCE hataları
Kaynak: Bleeping Computer