Tres nuevas vulnerabilidades de seguridad que crean riesgo significativo de la cadena de suministro han sido descubiertos. las vulnerabilidades, que fueron descubiertos e informados por investigadores de Eclypsium, afectan las megatendencias estadounidenses – Controlador de administración de placa base MegaRAC (BMC) software:
CVE-2022-40259: ejecución de código arbitrario a través de la API de Redfish;
CVE-2022-40242: credenciales predeterminadas para UID = 0 shell a través de SSH;
CVE-2022-2827 – Enumeración de usuarios a través de API.
BMC&C Las vulnerabilidades crean un riesgo en la cadena de suministro
Llamado BMC&vulnerabilidades C, los problemas varían en gravedad de medio a crítico. Podrían ser explotados por actores de amenazas remotos con acceso a interfaces de administración remota. Los investigadores de seguridad advierten que las fallas crean un gran riesgo para la cadena de suministro de tecnología en la computación en la nube., ya que afectan a varios proveedores de hardware.
“Como tales, estas vulnerabilidades pueden representar un riesgo para los servidores y el hardware que una organización posee directamente, así como para el hardware que admite los servicios en la nube que utilizan.,” señalaron los investigadores en su informe.
Cabe destacar que el software BMC brinda a los administradores un control casi total sobre los servidores.. American Megatrends es un proveedor líder de este tipo de software, haciendo que el impacto potencial de las vulnerabilidades sea bastante grande. Los posibles ataques incluyen tomar el control remoto de los servidores afectados, implementación remota de malware y ransomware, implantes de firmware, y daño físico del servidor. Actualmente, no se sabe si las vulnerabilidades se explotan en la naturaleza.
La más grave de las vulnerabilidades es CVE-2022-40259, Calificación 9.9 en la escala CVSS.