Контроллеры AMI MegaRAC позволяют хакерам «окирпичить» уязвимые серверы

Исследователи выявили критические уязвимости в программном обеспечении MegaRAC BMC (Baseboard Management Controller) компании American Megatrends International (AMI). Новые проблемы затрагивают многих поставщиков оборудования для облачных сервисов и дата-центров, включая AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, Hewlett-Packard Enterprise, Huawei, Ampere Computing, ASRock и так далее.

Напомню, что BMC оснащаются собственным CPU, системой хранения данных и LAN-интерфейсом, через который удаленный администратор может подключиться и отдать серверу или ПК команду на выполнение определенных операций (изменение настроек ОС, переустановка ОС, обновление драйверов и так далее). Фактически такие решения позволяют администраторам удаленно устранять многие неполадки, будто они сами физически присутствуют рядом с устройством.

MegaRAC BMC применяются как минимум 15 крупными производителями серверов, включая уже перечисленных выше AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta и Tyan.

Как сообщают эксперты из компании Eclypsium, они обнаружили уязвимости CVE-2023-34329 и CVE-2023-34330, проанализировав исходный код American Megatrends International, украденный у компании вымогательской группировкой RansomEXX. Хищение произошло еще в 2021 году, в результате взлома сети компании Gigabyte (одного из бизнес-партнеров AMI).

Новые уязвимости позволяют злоумышленникам обходить аутентификацию или внедрять вредоносный код через интерфейсы удаленного управления Redfish, если тот открыт для удаленного доступа:

• CVE-2023-34329 — обход аутентификации с помощью спуфинга HTTP-заголовка (9,9 балла из 10 возможных по шкале CVSS 3.0);
• CVE-2023-34330 — внедрение кода через интерфейс Dynamic Redfish Extension (6,7 балла из 10 возможных по шкале CVSS 3.0).

Сочетая эти уязвимости друг с другом, удаленный злоумышленник, имеющий доступ к интерфейсу управления BMC, но не имеющий учетных данных, может добиться удаленного выполнение кода на серверах с уязвимой прошивкой.

«Последствия от эксплуатации этих уязвимостей включают: получение удаленного контроля над взломанными серверами, удаленное развертывание вредоносного ПО, программ-вымогателей и прошивок, заражающих или “окирпичивющих” компоненты материнской платы (BMC или, вероятно, BIOS/UEFI), физическое повреждение серверов (перенапряжение или “окирпичивание” прошивки), а также бесконечные циклы перезагрузки, которые пострадавшая организация не сможет прервать», — предупреждают в Eclypsium.

Исследователи подчеркивают, что такой имплант будет крайне сложно обнаружить, а воссоздать в форме однострочного эксплоита без труда сможет практически любой злоумышленник.

Напомню, что в декабре 2022 года аналитики Eclypsium уже сообщали о нескольких серьезных проблемах в коде MegaRAC BMC. Тогда компании удалось выявить четыре уязвимости (CVE-2022-40259, CVE-2022-40242, CVE-2022-2827, CVE-2022-26872 и CVE-2022-40258), которые можно было использовать для взлома, блокировки или удаленного заражения скомпрометированных серверов.

Эксперты отмечают, что злоумышленники могут использовать раскрытые теперь уязвимости с багами, найденными в декабре. В частности, CVE-2022-40258, связанная со слабыми хэшами паролей для Redfish и API, может помочь злоумышленникам взломать пароли учетных записей администраторов BMC, сделав атаку еще более простой.

В Eclypsium подчеркивают, что пока им не известно о случаях эксплуатации всех перечисленных выше уязвимостей злоумышленниками.

21.07.2023
https://xakep.ru/2023/07/21/new-megarac-flaws/​