Resim: Bing Image Creator
Donanım ve yazılım şirketi American Megatrends International tarafından yapılan Megarac Süpürgelik Yönetim Denetleyicisi (BMC) yazılımında iki yeni kritik şiddet kırılganlığı keşfedilmiştir.
Megarac BMC, yöneticilere "bant dışı" ve "ışıklar dış" uzaktan sistem yönetimi özelliklerini sağlar ve sunucuları fiziksel olarak cihazların önündeymiş gibi gidermelerini sağlar.
Ürün yazılımı, birçok bulut hizmeti ve veri merkezi sağlayıcısına ekipman sağlayan bir düzineden fazla sunucu üreticisi tarafından kullanılır. Etkilenen satıcılar arasında AMD, ASUS, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, Hewlett-Packard Enterprise, Huawei, Amper Computing, Asrock ve daha fazlası bulunmaktadır.
Eclypsiyum güvenlik araştırmacıları, AMI'nin iş ortaklarından biri olan bilgisayar donanımı devi gigabyte ağını ihlal ettikten sonra Ransomexx fidye yazılım çetesi tarafından çalınan AMI kaynak kodunu analiz ettikten sonra kusurları (CVE-2023-34329 ve CVE-2023-34330 olarak izlendi) buldular.
BleepingComputer'ın bildirdiği gibi, Ransomexx tehdit saldırganları çalınan dosyaları Ağustos 2021'de karanlık web veri sızıntı sitelerinde yayınladı.
İki güvenlik kusuru, saldırganların kimlik doğrulamasını atlamasını veya uzak erişime maruz kalan Redfish uzaktan yönetim arayüzleri aracılığıyla kötü amaçlı kod enjekte etmesini sağlar:
Bu güvenlik açıklarını birleştirerek, bir uzaktan saldırganın BMC yönetim arayüzüne ağ erişimi ve BMC kimlik bilgileri eksik olan, savunmasız ürün yazılımını çalıştıran sunucularda uzaktan kod yürütme kazanabilir.
Bu, BMC'yi dahili arayüzden kaynaklanan HTTP isteğini algılamak için kandırarak gerçekleştirilir. Sonuç olarak, saldırgan, arayüz çevrimiçi olarak maruz kalırsa, potansiyel olarak internetten bile keyfi kodu uzaktan yükleyebilir ve yürütebilir.
"Bu güvenlik açıklarından yararlanmanın etkisi, tehlikeye atılan sunucuların uzaktan kumandasını, kötü amaçlı yazılımların uzaktan dağıtımını, fidye yazılımı ve tuğla anakart bileşenlerini (BMC veya potansiyel olarak biOS / UEFI), bir potansiyel fiziksel hasar (aşırı voltaj / foleve / firm yazılımı tuğlası) ve vict rebous loops'un ekleyemeyeceğini söyledi.
"Ayrıca, böyle bir implantın tespit edilmesinin son derece zor olabileceğini ve herhangi bir saldırgan için tek satırlık bir istismar şeklinde yeniden oluşturulmasının son derece kolay olduğunu vurgulamamız gerekiyor."
Aralık 2022 ve Ocak 2023'te Eclypsium, beş daha megarac BMC güvenlik açıklarını (CVE-2022-40259, CVE-2022-40242, CVE-2022-2827, CVE-2022-26872 ve CVE-2022-40258) 'lik bir şekilde kullanılabilen, Remsed, Remsed, Remsed, Remefed, Remefed, Rem, Remefed, Rem, Rem, Rem, Rem, Remefed, Rem, Rem, Rem, Reme Edilebilecek.
Ayrıca, bugün açıklanan iki Megarac BMC ürün yazılımı güvenlik açıkları, yukarıda belirtilenlerle zincirlenebilir.
Özellikle, Redfish & API için zayıf şifre karmalarını içeren CVE-2022-40258, saldırganların BMC çipindeki yönetici hesapları için yönetici şifrelerini kırmasına yardımcı olabilir ve saldırıyı daha da basit hale getirir.
Eclypsium, "Bunların veya daha önce açıklanan BMC & C güvenlik açıklarımızın vahşi doğada kullanıldığına dair hiçbir kanıt görmedik." Dedi.
"Bununla birlikte, tehdit aktörlerinin aynı kaynak verilerine erişebildiğinden, bu güvenlik açıklarının silahlandırılması riski önemli ölçüde artmaktadır."
Zyxel, NAS cihazlarında kritik komut enjeksiyon kusurunu uyarıyor
Western Digital Boots Bulutumun Uslu Nas Cihazları
Adobe, sömürülen Coldfusion CVE-2023-29298 Kusur için Yama Bypass'ı düzeltiyor
Kritik Coldfusion Kusurları Saldırılarda Web Shells'i Bırakma
Kritik WordPress WooCommerce Payments Hatası'ndan yararlanan bilgisayar korsanları
Kaynak: Bleeping Computer