画像: Bing Image Creator
ハードウェアおよびソフトウェア会社である American Megatrends International が製造した MegaRAC Baseboard Management Controller (BMC) ソフトウェアで、重大度が 2 つの新たな脆弱性が発見されました。
MegaRAC BMC は、管理者に「アウトオブバンド」および「ライトアウト」リモート システム管理機能を提供し、物理的にデバイスの前にいるかのようにサーバーのトラブルシューティングを行うことができます。
このファームウェアは、多くのクラウド サービス プロバイダーやデータ センター プロバイダーに機器を提供する十数社のサーバー メーカーによって使用されています。影響を受けるベンダーには、AMD、Asus、ARM、Dell EMC、Gigabyte、Lenovo、Nvidia、Qualcomm、Hewlett-Packard Enterprise、Huawei、Ampere Computing、ASRock などが含まれます。
Eclypsium のセキュリティ研究者は、AMI のビジネス パートナーの 1 つであるコンピューター ハードウェア大手 GIGABYTE のネットワークに侵入した後、RansomEXX ランサムウェア集団によって盗まれた AMI のソース コードを分析した結果、欠陥 (CVE-2023-34329 および CVE-2023-34330 として追跡) を発見しました。
報告されているように、RansomEXX 脅威攻撃者は、2021 年 8 月に盗んだファイルをダークウェブ データ漏洩サイトで公開しました。
この 2 つのセキュリティ上の欠陥により、攻撃者は認証をバイパスしたり、リモート アクセスにさらされたRedfishリモート管理インターフェイス経由で悪意のあるコードを挿入したりすることができます。
- CVE-2023-34329 – HTTP ヘッダー スプーフィングによる認証バイパス (9.9/10 CVSS 3.0 基本スコア)
- CVE-2023-34330 – 動的 Redfish 拡張インターフェイスを介したコード インジェクション (6.7/10 CVSS 3.0 基本スコア)
これらの脆弱性を組み合わせることで、BMC 管理インターフェイスにネットワーク アクセスでき、BMC 認証情報を持たないリモート攻撃者は、脆弱なファームウェアを実行しているサーバー上でリモート コードを実行できるようになります。
これは、BMC をだまして HTTP リクエストが内部インターフェイスから発信されたものであると認識させることで実現されます。その結果、インターフェイスがオンラインで公開されている場合、攻撃者はリモートから、場合によってはインターネットからも任意のコードをアップロードして実行することができます。
影響にはサーバーのブリックや無限再起動ループが含まれます
「これらの脆弱性が悪用された場合の影響には、侵害されたサーバーのリモート制御、マルウェアのリモート展開、ランサムウェアとファームウェアのマザーボードコンポーネント(BMCまたは潜在的にBIOS/UEFI)の埋め込みまたはブリック、サーバーへの潜在的な物理的損傷(過電圧/ファームウェアのブリック)、被害組織が中断できない無期限の再起動ループが含まれます」とEclypsiumは述べている。
「また、このようなインプラントは検出が非常に難しく、攻撃者にとっては 1 行のエクスプロイトの形で非常に簡単に再現できることも強調する必要があります。」
2022 年 12 月と 2023 年 1 月に、Eclypsium はさらに 5 つの MegaRAC BMC 脆弱性 (CVE-2022-40259、CVE-2022-40242、CVE-2022-2827、CVE-2022-26872、および CVE-2022-40258) を明らかにしました。これらの脆弱性は、侵害されたデバイスのハイジャック、ブリック、またはリモート感染に悪用される可能性があります。マルウェアが存在するサーバー。
さらに、本日公開された 2 つの MegaRAC BMC ファームウェアの脆弱性は、上記の脆弱性と連鎖する可能性があります。
具体的には、Redfish と API の弱いパスワード ハッシュに関連する CVE-2022-40258 は、攻撃者が BMC チップ上の管理者アカウントの管理者パスワードを解読するのに役立ち、攻撃をさらに単純化する可能性があります。
Eclypsium は、「これらの脆弱性、または以前に開示した BMC&C の脆弱性が実際に悪用されているという証拠は確認されていません」と述べています。
「しかし、脅威アクターは同じソースデータにアクセスできるため、これらの脆弱性が武器化されるリスクは大幅に高まります。」
Comments