server

American Megatrends MegaRAC Baseboard Management Controller (BMC) ソフトウェアの 3 つの脆弱性は、多くのクラウド サービスおよびデータ センター プロバイダーで使用されているサーバー機器に影響を与えます。

この脆弱性は 2022 年 8 月に Eclypsium によって発見され、特定の条件下で、攻撃者がコードを実行し、認証をバイパスし、ユーザーの列挙を実行できる可能性があります。

研究者は、リークされたアメリカの Megatrends の独自コード、具体的には MegaRAC BMC ファームウェアを調べた結果、欠陥を発見しました。

MegaRAC BMC は、完全な「アウトオブバンド」および「ライトアウト」リモート システム管理のためのソリューションであり、管理者はデバイスの前に立っているかのようにリモートでサーバーのトラブルシューティングを行うことができます。

MegaRAC BMC ファームウェアは、AMD、Ampere Computing、ASRock、Asus、ARM、Dell EMC、Gigabyte、Hewlett-Packard Enterprise、Huawei、Inspur、Lenovo、Nvidia、Qualcomm、Quanta、Tyan など、少なくとも 15 のサーバー メーカーで使用されています。

脆弱性の詳細

Eclypsium によって発見され、American Megatrends および影響を受けるベンダーに報告された 3 つの脆弱性は次のとおりです。

  • CVE-2022-40259 : ユーザーへのコマンドの不適切な公開による、Redfish API による任意のコード実行の欠陥。 (CVSS v3.1 スコア: 9.9「クリティカル」)
  • CVE-2022-40242 : 攻撃者が管理シェルを確立できるようにする、sysadmin ユーザーのデフォルトの資格情報。 (CVSS v3.1 スコア: 8.3「高」)
  • CVE-2022-2827 : リクエスト操作の欠陥により、攻撃者がユーザー名を列挙し、アカウントが存在するかどうかを判断できるようになります。 (CVSS v3.1 スコア: 7.5「高」)

3 つの欠陥の中で最も重大な CVE-2022-40259 は、API コールバックを実行するために少なくとも権限の低いアカウントへの事前アクセスを必要とします。

「唯一の複雑な点は、攻撃がパス パラメータにあることですが、フレームワークによって URL デコードされないため、エクスプロイトは、URL ごとに有効で、bash シェル コマンドごとに有効になるように特別に作成する必要があります」と Eclypisum 氏は言います。

CVE-2022-40242 を悪用するための唯一の前提条件は、攻撃者がデバイスにリモート アクセスできることです。

影響

最初の 2 つの欠陥は、攻撃者がさらにエスカレーションしなくても管理シェルにアクセスできるため、非常に深刻です。

この脆弱性は、悪用された場合、データ操作、データ侵害、サービスの停止、ビジネスの中断などを引き起こす可能性があります。

3 番目の欠陥は、ターゲットに存在するアカウントを知るだけでは損害を引き起こすのに十分ではないため、重大なセキュリティへの直接的な影響はありません。

ただし、パスワードのブルート フォース攻撃や資格情報スタッフィング攻撃への道を開く可能性があります。

「データセンターは特定のハードウェアプラットフォームで標準化される傾向があるため、BMC レベルの脆弱性は多数のデバイスに適用される可能性が高く、データセンター全体とそれが提供するサービスに影響を与える可能性があります」 と Eclypsium はレポートでコメントしています。

「サーバー コンポーネント上のホスティングとクラウド プロバイダーの標準化は、これらの脆弱性が数十万、場合によっては数百万のシステムに影響を与える可能性があることを意味します。」

システム管理者は、リモート管理オプションを無効にし、可能な場合はリモート認証手順を追加することをお勧めします。

さらに、管理者は、Redfish などのサーバー管理インターフェイスの外部公開を最小限に抑え、最新の利用可能なファームウェア アップデートがすべてのシステムにインストールされていることを確認する必要があります。