Eclypsium 研究人员 Vlad Babkin 和 Scott Scheferman 在与 The Hacker News 分享的一份报告中说:这些新漏洞的严重程度从低到高不等,包括未经验证的远程代码执行和具有超级用户权限的未经授权设备访问。
能够访问 Redfish 远程管理界面的远程攻击者,或者从受损的主机操作系统,都可以利用这些漏洞。
更糟糕的是,这些缺陷也可能被“武器化”,使持久固件植入物不受操作系统重新安装和硬盘驱动器更换、砖砌主板组件的影响,通过过电压攻击造成物理损坏,并引发无限期的重新启动循环。
研究人员指出:随着攻击者将重点从面向用户的操作系统转移到硬件和计算信任所依赖的底层嵌入式代码,入侵行为变得更难检测,补救措施也更加复杂。
此次Eclypsium的发现基于RansomExx组织在2021年8月针对硬件制造商技嘉的勒索软件攻击中泄露的AMI固件的分析。此次的新漏洞被命名为BMC&C,其中一些漏洞是固件安全公司在2022年12月(CVE-2022-40259、CVE-2022-40242和CVE-2022-2827)和2023年1月(CVE-2022-26872和CVE-2022-40258)披露的。
新漏洞列表如下:
- CVE-2023-34329 (CVSS 得分:9.1) - 通过 HTTP 报头欺骗进行身份验证绕过
- CVE-2023-34330(CVSS 得分:8.2)--通过动态 Redfish 扩展接口注入代码
当这两个漏洞 一并出现的时候,其严重程度评分达到 10.0,将允许对手绕过 Redfish 身份验证,并以最高权限在 BMC 芯片上远程执行任意代码。此外,上述漏洞还可与 CVE-2022-40258 串联起来,以用来破解 BMC 芯片上管理员账户的密码。
值得注意的是,在这个过程中,可能还涉及到恶意软件被非法安装的相关问题。这些恶意软件可以在安全软件的监视下不仅可以进行长期的网络间谍活动,甚至还可以通过电源管理篡改技术(如 PMFault)直接破坏 CPU 。
虽然没有证据表明这些漏洞已被广泛利用,但 MegaRAC BMC(主要供应商出货的数百万台设备中的关键供应链组件)确实已经成为了威胁行为者的重要目标。
研究人员表示,这些漏洞给那些以云计算为基础的技术供应链带来了巨大风险。简单来说,就是一个组件供应商的漏洞可能会影响到许多其他的硬件供应商,而这些硬件供应商的漏洞又会传递给许多云计算服务。
这些漏洞可能会对企业的服务器、硬件以及支持其使用的云服务的硬件构成风险。