Múltiples vulnerabilidades en MegaRAC BMC Risky Server Security

Los investigadores han descubierto varias vulnerabilidades en el firmware MegaRAC BMC que han comprometido la seguridad de muchas marcas de servidores. Los administradores de TI deben garantizar actualizaciones oportunas en sus servidores para evitar posibles vulnerabilidades.

Vulnerabilidades de MegaRAC BMC

El equipo de investigación de Eclypsium descubrió tres vulnerabilidades diferentes en el software MegaRAC Baseboard Management Controller (BMC).

MegaRAC BMC es una solución de gestión remota de American Megatrends, Inc. (AMI). Actualmente equipa los servidores de muchas marcas populares como AMD, Asus, Dell EMC, Huawei, Nvidia y Qualcomm.

Como se explica en su publicación detallada, las vulnerabilidades incluyen,

• CVE-2022-40259 (CVSS 9.5) – una vulnerabilidad de ejecución de código arbitrario en la implementación de la API de Redfish. Un exploit especialmente diseñado por un atacante con acceso mínimo al dispositivo de destino podría desencadenar la falla.
• CVE-2022-40242 (CVSS 8.3) – Credenciales predeterminadas para UID=0 shell a través de SSH. Los investigadores dijeron que encontraron «un hash en etc/shadow para el administrador del sistema del usuario», que se rompe y les permite alcanzar las credenciales predeterminadas. Explotar esta vulnerabilidad simplemente requiere que un atacante tenga acceso remoto al dispositivo de destino.
• CVE-2022-2827 (CVSS 7.5) – al restablecer la contraseña, uno de los parámetros podría permitir que un adversario descubra diferentes cuentas de usuario interrogando posibles nombres de usuario. Esto permite al atacante realizar un relleno de credenciales o ataques de fuerza bruta contra estas cuentas.

Teniendo en cuenta los escenarios de explotación triviales de estas fallas críticas, los investigadores sugieren que los servidores BMC deben configurarse correctamente, pero notaron que la mayoría de los servidores BMC están expuestos a Internet debido a una seguridad inadecuada o configuraciones incorrectas. . Estas vulnerabilidades aumentan significativamente la seguridad del servidor al invitar potencialmente a los atacantes en línea.

Atenuaciones recomendadas

Los investigadores han compartido muchas estrategias de mitigación para que los usuarios prevengan vulnerabilidades y riesgos de explotación. Algunos de ellos incluyen procedimientos de seguridad básicos que son imprescindibles para las empresas y los administradores de TI, como restringir el acceso a los dispositivos a usuarios autorizados, actualizar el firmware/software y desactivar la seguridad del acceso remoto innecesario.

Además, también recomiendan deshabilitar las cuentas de administrador integradas y realizar escaneos de vulnerabilidades regulares del firmware crítico del servidor para una reparación rápida.

Háganos saber sus pensamientos en los comentarios.

Fuente