Trois nouvelles vulnérabilités de sécurité qui créent risque important pour la chaîne d'approvisionnement ont été découverts. les vulnérabilités, qui ont été découverts et rapportés par les chercheurs d'Eclypsium, affecter les mégatendances américaines – Contrôleur de gestion de carte mère MegaRAC (BMC) logiciel:
CVE-2022-40259 – Exécution de code arbitraire via l'API Redfish;
CVE-2022-40242 – Identifiants par défaut pour UID = 0 shell via SSH;
CVE-2022-2827 – Énumération des utilisateurs via l'API.
BMC&C Les vulnérabilités créent un risque pour la chaîne d'approvisionnement
Appelé BMC&Vulnérabilités C, la gravité des problèmes varie de moyenne à critique. Ils pourraient être exploités par des pirates distants ayant accès à des interfaces de gestion à distance. Les chercheurs en sécurité avertissent que les failles créent un risque majeur pour la chaîne d'approvisionnement technologique dans le cloud computing, car ils affectent plusieurs fournisseurs de matériel.
« En tant que telles, ces vulnérabilités peuvent présenter un risque pour les serveurs et le matériel qu'une organisation possède directement ainsi que pour le matériel qui prend en charge les services cloud qu'elle utilise.,» notent les chercheurs dans leur rapport.
Il convient de noter que le logiciel BMC donne aux administrateurs un contrôle presque total sur les serveurs. American Megatrends est l'un des principaux fournisseurs de ce type de logiciel, ce qui rend l'impact potentiel des vulnérabilités assez important. Les attaques potentielles incluent la prise de contrôle à distance des serveurs affectés, déploiement à distance de logiciels malveillants et de rançongiciels, implants de micrologiciel, et les dommages physiques du serveur. Actuellement, on ne sait pas si les vulnérabilités sont exploitées à l'état sauvage.
La plus grave des vulnérabilités est CVE-2022-40259, rated 9.9 à l'échelle CVSS.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: