Eclypsium研究人員VladBabkin和ScottScheferman在與TheHackerNews分享的一份報告中說:這些新漏洞的嚴重程度從低到高不等,包括未經驗證的遠程代碼執行和具有超級用戶權限的未經授權設備訪問。
能夠訪問Redfish遠程管理界面的遠程攻擊者,或者從受損的主機操作系統,都可以利用這些漏洞。
更糟糕的是,這些缺陷也可能被“武器化”,使持久固件植入物不受操作系統重新安裝和硬盤驅動器更換、磚砌主板組件的影響,通過過電壓攻擊造成物理損壞,并引發無限期的重新啟動循環。
研究人員指出:隨著攻擊者將重點從面向用戶的操作系統轉移到硬件和計算信任所依賴的底層嵌入式代碼,入侵行為變得更難檢測,補救措施也更加復雜。
此次Eclypsium的發現基于RansomExx組織在2021年8月針對硬件制造商技嘉的勒索軟件攻擊中泄露的AMI固件的分析。此次的新漏洞被命名為BMC&C,其中一些漏洞是固件安全公司在2022年12月(CVE-2022-40259、CVE-2022-40242和CVE-2022-2827)和2023年1月(CVE-2022-26872和CVE-2022-40258)披露的。
新漏洞列表如下:
- CVE-2023-34329(CVSS得分:9.1)-通過HTTP報頭欺騙進行身份驗證繞過
- CVE-2023-34330(CVSS得分:8.2)--通過動態Redfish擴展接口注入代碼
當這兩個漏洞一并出現的時候,其嚴重程度評分達到10.0,將允許對手繞過Redfish身份驗證,并以最高權限在BMC芯片上遠程執行任意代碼。此外,上述漏洞還可與CVE-2022-40258串聯起來,以用來破解BMC芯片上管理員賬戶的密碼。
值得注意的是,在這個過程中,可能還涉及到惡意軟件被非法安裝的相關問題。這些惡意軟件可以在安全軟件的監視下不僅可以進行長期的網絡間諜活動,甚至還可以通過電源管理篡改技術(如PMFault)直接破壞CPU。
雖然沒有證據表明這些漏洞已被廣泛利用,但MegaRACBMC(主要供應商出貨的數百萬臺設備中的關鍵供應鏈組件)確實已經成為了威脅行為者的重要目標。
研究人員表示,這些漏洞給那些以云計算為基礎的技術供應鏈帶來了巨大風險。簡單來說,就是一個組件供應商的漏洞可能會影響到許多其他的硬件供應商,而這些硬件供應商的漏洞又會傳遞給許多云計算服務。
這些漏洞可能會對企業的服務器、硬件以及支持其使用的云服務的硬件構成風險。
