Deux autres failles de sécurité de la chaîne d’approvisionnement ont été révélées dans le logiciel AMI MegaRAC Baseboard Management Controller (BMC), près de deux mois après la découverte de trois vulnérabilités de sécurité dans le même produit.

La société de sécurité des micrologiciels Eclypsium a déclaré que les deux lacunes avaient été retenues jusqu’à présent pour donner à AMI plus de temps pour concevoir les mesures d’atténuation appropriées.

Les problèmes, collectivement suivis sous le nom de BMC&C, pourraient servir de tremplin pour les cyberattaques, permettant aux acteurs de la menace d’obtenir l’exécution de code à distance et l’accès non autorisé aux appareils avec des autorisations de superutilisateur.

Les deux nouveaux défauts en question sont les suivants –

  • CVE-2022-26872 (score CVSS : 8,3) – ​​Interception de réinitialisation de mot de passe via API
  • CVE-2022-40258 (score CVSS : 5,3) – Hachages de mots de passe faibles pour Redfish et API

Plus précisément, MegaRAC s’est avéré utiliser l’algorithme de hachage MD5 avec un sel global pour les appareils plus anciens, ou SHA-512 avec des sels par utilisateur sur les appareils plus récents, permettant potentiellement à un acteur malveillant de déchiffrer les mots de passe.

CVE-2022-26872, d’autre part, exploite une API HTTP pour duper un utilisateur afin qu’il lance une réinitialisation de mot de passe au moyen d’une attaque d’ingénierie sociale et définisse un mot de passe au choix de l’adversaire.

CVE-2022-26872 et CVE-2022-40258 s’ajoutent à trois autres vulnérabilités divulguées en décembre, notamment CVE-2022-40259 (score CVSS : 9,9), CVE-2022-40242 (score CVSS : 8,3) et CVE-2022- 2827 (score CVSS : 7,5).

Il convient de souligner que les faiblesses ne sont exploitables que dans les scénarios où les BMC sont exposés à Internet ou dans les cas où l’acteur de la menace a déjà obtenu un accès initial à un centre de données ou à un réseau administratif par d’autres méthodes.

Le rayon d’explosion de BMC&C est actuellement inconnu, mais Eclypsium a déclaré qu’il travaillait avec AMI et d’autres parties pour déterminer l’étendue des produits et services touchés.

Gigabyte, Hewlett Packard Enterprise, Intel et Lenovo ont tous publié des mises à jour pour corriger les défauts de sécurité de leurs appareils. NVIDIA devrait livrer un correctif en mai 2023.

« L’impact de l’exploitation de ces vulnérabilités comprend le contrôle à distance des serveurs compromis, le déploiement à distance de logiciels malveillants, de ransomwares et d’implantations de micrologiciels, et les dommages physiques au serveur (bricking) », a noté Eclypsium.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *