Drie nieuwe beveiligingsproblemen die creëren aanzienlijk risico in de toeleveringsketen zijn ontdekt. de beveiligingslekken, die werden ontdekt en gerapporteerd door onderzoekers van Eclypsium, invloed hebben op Amerikaanse megatrends – MegaRAC Baseboard-beheercontroller (BMC) software:
CVE-2022-40259 – Uitvoering van willekeurige code via Redfish API;
CVE-2022-40242 – Standaardreferenties voor UID = 0 shell via SSH;
CVE-2022-2827 – Gebruikerstelling via API.
BMC&C Kwetsbaarheden creëren risico's voor de toeleveringsketen
BMC gebeld&C kwetsbaarheden, de problemen variëren in ernst van gemiddeld tot kritiek. Ze kunnen worden uitgebuit door externe bedreigingsactoren met toegang tot externe beheerinterfaces. Beveiligingsonderzoekers waarschuwen dat de fouten een groot risico vormen voor de toeleveringsketen van technologie in cloud computing, omdat ze verschillende hardwareleveranciers treffen.
“Als zodanig kunnen deze kwetsbaarheden een risico vormen voor servers en hardware die een organisatie rechtstreeks bezit, evenals de hardware die de cloudservices ondersteunt die ze gebruiken.,', noteerden de onderzoekers in hun verslag.
Het is opmerkelijk dat BMC-software beheerders bijna volledige controle over servers geeft. American Megatrends is een toonaangevende aanbieder van dit soort software, waardoor de potentiële impact van de kwetsbaarheden behoorlijk groot is. Mogelijke aanvallen zijn onder meer het op afstand overnemen van getroffen servers, implementatie op afstand van malware en ransomware, firmware-implantaten, en fysieke schade aan de server. Momenteel, het is niet bekend of de kwetsbaarheden in het wild worden uitgebuit.
De ernstigste kwetsbaarheid is CVE-2022-40259, rated 9.9 op de schaal CVSS.