严重的 AMI MegaRAC 漏洞影响 AMD、ARM、HPE 和戴尔等众多大厂的服务器！

American Megatrends（AMI）MegaRAC基带管理控制器（BMC）软件近日曝出了三个漏洞，许多云服务和数据中心提供商使用的服务器设备因而受到影响。

BMC是服务器中的独立计算机，它们有自己的独立电源、固件、内存和网络系统，旨在让管理员可以近乎全面远程控制他们管理的服务器。

MegaRAC则被认为是全球领先的BMC远程管理固件提供商之一，充当“成千上万服务器中的现代计算环境中的基础性组件”，这些服务器广泛用于全球各地的数据中心、服务器集群和云基础架构。

这些漏洞是由安全公司Eclypsium在2022年8月发现的，可以使攻击者在某些条件下执行代码、绕过身份验证和执行用户枚举。

研究人员在检查American Megatrends被泄露的专有代码后发现了这些漏洞，专有代码具体是指MegaRAC BMC固件。

MegaRAC BMC是一套全面的“带外”“无人值守”远程系统管理解决方案，允许管理员远程排除服务器故障，就像站在设备跟前一样。

MegaRAC BMC固件被至少15家服务器厂商所使用，包括AMD、Ampere Computing、ASRock、华硕、ARM、戴尔EMC、技嘉、HPE、华为、浪潮、联想、英伟达、高通、广达和泰安（Tyan）。

漏洞细节

Eclypsium发现并报告给American Megatrends及受影响厂商的三个漏洞如下：

•CVE-2022-40259：由于命令不恰当地暴露在用户面前，可通过Redfish API执行任意代码的漏洞（CVSS v3.1评分：9.9“危急”）

•CVE-2022-40242：系统管理员的默认凭据，允许攻击者建立管理shell。（CVSS v3.1评分：8.3“高危”）

•CVE-2022-2827：请求操作漏洞，允许攻击者枚举用户名，并确定帐户是否存在。（CVSS v3.1评分：7.5“高危”）

这三个漏洞中最严重的漏洞CVE-2022-40259要求之前访问一个至少低权限帐户，才能执行API回调。

Eclypsium声称：“唯一复杂的地方在于，攻击存在于路径参数中，但它不是由框架解码的URL，因此需要专门精心设计漏洞利用代码，使其既针对每个URL而言有效，又针对每个bash shell命令而言有效。”

若要利用CVE-2022-40242漏洞，攻击者的唯一前提是可以远程访问设备。

漏洞影响

前两个漏洞非常严重，这是由于它们让攻击者无需进一步提升权限，即可访问管理shell。

一旦被人成功利用，这些漏洞可能会导致数据操纵、数据泄露、服务中断和业务中断等更多后果。

第三个漏洞不会对安全造成重大的直接影响，因为知道目标上存在什么帐户不足以造成任何破坏。然而，它将为蛮力破解密码或执行撞库攻击打开便利之门。

Eclypsium在报告中声称：“由于数据中心往往统一采用某种特定的硬件平台，任何BMC层面的漏洞都极有可能适用于大量的设备，并可能影响整个数据中心及其提供的服务。”

“托管服务和云提供商统一采用标准化的服务器部件或组件，这意味着这些漏洞很容易影响数十万甚至数百万个系统。”

建议系统管理员禁用远程管理选项，并尽可能添加远程身份验证步骤。

此外，管理员应该尽量减小服务器管理接口（比如Redfish）的外部暴露面，并确保所有系统上都已安装了最新的固件更新。