Varovanie pred zraniteľnosťami v AMI MegaRAC

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred dvoma zraniteľnosťami v MegaRAC Baseboard Management Controller (BMC), ktoré umožňujú obídenie autentifikácie a inštaláciu ľubovoľného kódu. Vzhľadom k charakteru zraniteľných systémov je tiež možné fyzické zničenie zraniteľných serverov.

MegaRAC Baseboard Management Controller je komponent, ktorá slúži na manažment serverov, nezávislý od operačného systému. Tento komponent je zapnutý, aj keď hlavný operačný systém nebeží. Tento komponent je súčasťou serverov viacerých značiek. Podľa dostupných zdrojov sú medzi nimi napríklad Dell EMC, Gigabyte, Nvidia, Qualcomm, HP Enterprise, Huawei, Ampere Computing, ASRock, AMD a iné.

Zraniteľnosti sa nachádzajú vo firméri MegaRAC BMC a sú označené pod CVE-2023-34329 a CVE-2023-34330

Zraniteľnosť CVE-2023-34329 umožnuje prostredníctvom HTTP header spoofingu obísť autentifikáciu a záskať na zariadení najvyššie oprávnenia. Zraniteľnosť má hodnotu CVSS 9.1.

Zraniteľnosť CVE-2023-34330 umožnuje prostredníctvom rozhrania Dynamic Redfish Extension vykonanie akéhokoľvek kódu. CNA Zraniteľnosť má hodnotu CVSS 8.2.

Dopad zenužitia týchto zraniteľností zahŕňa najmä vzdialenú kontrolu nad kompromitovanými zariadeniami, získavanie citlivých informácií, rekonfiguráciu alebo zmeny v BIOS, vzdialené vykonanie kódufyzické zničenie zasiahnutých zariadení či spustenie nekonečných reštartov zariadenia, ktoré nie je možné zastaviť.

Zraniteľnosť nie je jednoduché odstrániť, nakoľko každý výrobca vydáva aktualizácie firmvéru zariadení. Nakoľko ide o aktualizáciu samotného firmvéru a nie operačného systému, takýto typ aktualizácií nie je vždy súčasťou bežného aktualizačného procesu v organizáciách.

Opatrenia

Národné centrum kybernetickej bezpečnosti SK-CERT v súvislosti s oboma zraniteľnosťami odporúča:

  • uistite sa, že všetky rozhrania, ktoré slúžia na vzdialené riadenie serverov a všetky BMC podsystémy sú v oddelenej manažmentovej sieti a nie je možné k nim pristupovať z internetu,
  • aktualizujte firmvér serverov. Niektoré zariadenia je nutné po aktualizácii firmvéru fyzicky odpojiť od elektrického napájania a opätovne pripojiť,
  • takisto sa uistite, že BMC rozhrania sú prístupné len administrátorom s príslušnými právami. Pre jednotlivé kontá používajte ťažké a jedinečné heslá. Nastavte prístupové kontá a práva tak, ako máte zadefinované v pravidlách na riadenie prístupov,
  • zariadenia, ktoré majú v sebe možnosť vzdialeného riadenia, skontrolujte a preverte, či neobsahujú pôvodné konfigurácie, predvolené kontá a heslá a podobne,
  • vykonávajte pravidelné softvérové  aktualizácie. Pri zariadeniach, ktoré sú kritické, nečakajte na bežné aktualizačné okno a aktualizujte ich ihneď, ako je dostupná aktualizácia od výrobcu.

Zdroje

https://9443417.fs1.hubspotusercontent-na1.net/hubfs/9443417/Security%20Advisories/AMI-SA-2023006.pdf

https://eclypsium.com/research/bmcc-lights-out-forever/

https://www.bleepingcomputer.com/news/security/critical-ami-megarac-bugs-can-let-hackers-brick-vulnerable-servers/


« Späť na zoznam