Tre nuove vulnerabilità di sicurezza che creano rischio significativo della catena di fornitura sono stati scoperti. le vulnerabilità, che sono stati scoperti e segnalati dai ricercatori di Eclypsium, influenzare i megatrend americani – Controller di gestione della basetta MegaRAC (BMC) software:
CVE-2022-40259 – Esecuzione di codice arbitrario tramite API Scorfano;
CVE-2022-40242 – Credenziali predefinite per UID = 0 shell tramite SSH;
CVE-2022-2827 – Enumerazione degli utenti tramite API.
BMC&C Le vulnerabilità creano un rischio per la catena di approvvigionamento
Chiamato BMC&Vulnerabilità C, i problemi variano in gravità da media a critica. Potrebbero essere sfruttati da attori di minacce remote con accesso a interfacce di gestione remota. I ricercatori di sicurezza avvertono che i difetti creano un grave rischio per la catena di fornitura tecnologica nel cloud computing, poiché interessano diversi fornitori di hardware.
"In quanto tali, queste vulnerabilità possono rappresentare un rischio per i server e l'hardware che un'organizzazione possiede direttamente, nonché per l'hardware che supporta i servizi cloud che utilizza,", hanno osservato i ricercatori in il loro rapporto.
È interessante notare che il software BMC offre agli amministratori il controllo quasi completo sui server. American Megatrends è un fornitore leader di questo tipo di software, rendendo l'impatto potenziale delle vulnerabilità piuttosto ampio. I potenziali attacchi includono l'acquisizione del controllo remoto dei server interessati, distribuzione remota di malware e ransomware, impianti firmware, e danni fisici al server. Attualmente, non è noto se le vulnerabilità siano sfruttate in natura.
La più grave delle vulnerabilità è CVE-2022-40259, nominale 9.9 sulla scala CVSS.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: