AMI MegaRAC BMC软件再曝2个供应链漏洞

固件安全公司 Eclypsium 表示，目前并未发布这两个供应链漏洞的详情，目的是使AMI有更多的时间推出恰当的缓解措施。这两个漏洞被统称为“BMC&C”，可当做网络攻击的跳板，使得威胁者能够以超级用户权限获得远程代码执行和设备的越权访问权限。

这两个新漏洞为：

• CVE-2022-26872（CVSS评分：8.3）：通过API的密码重置拦截

• CVE-2022-40258（CVSS评分：5.3）：Redfish和API的弱密码哈希

具体而言，MegaRAC被指能够使用老旧设备全局salt的MD5哈希算法或在新设备上每个用户salt的SHA-512，可能使攻击者破解密码。而CVE-2022-26872利用HTTP API诱骗用户通过社工攻击启动密码重置并按照攻击者的意愿设置密码。

此前，该软件中存在三个供应链漏洞：CVE-2022-40259（CVSS评分9.9）、CVE-2022-40242（CVSS评分8.3）和CVE-2022-2827（CVSS评分7.5）。

值得一提的是，新出现的两个供应链漏洞仅适用于如下场景：BMCs暴露在互联网，或者威胁者通过其它方法获得对数据中心或管理员网络初始访问权限。虽然目前BMC&C漏洞的影响范围尚不明朗，但Eclypsium 公司表示正在和AMI和其它各方协作，判断受影响产品和服务的范围。

Gigabyte、惠普企业、Intel和联想均已发布更新解决设备中存在的漏洞问题。英伟达有望在2023年5月发布修复方案。

Eclypsium 公司提到，“利用这些漏洞造成的营销包括远程控制受陷服务器、远程部署恶意软件、勒索软件和固件植入以及服务器物理损坏等。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。