Eclypsiumは12月5日(米国時間)、「Supply Chain Vulnerabilities Put Server Ecosystem At Risk - Eclypsium」において、American MegatrendsのMegaRACベースボード管理コントローラ(BMC: Baseboard Management Controller)に3つの重大な脆弱性があると伝えた。特定されたこれら脆弱性は総称して「BMC&C」と呼ばれている。
-
Supply Chain Vulnerabilities Put Server Ecosystem At Risk - Eclypsium
BMC&Cの脆弱性は、リモートでのコード実行やスーパーユーザー権限による不正なデバイスアクセスなど、深刻度が「警告(Medium)」から「緊急(Critical)」の範囲にあるとされている。これらの脆弱性は、リモート管理インタフェース(Redfish、IPMI)にアクセスできるリモートの攻撃者によって悪用される可能性があるとみられている。
発見された脆弱性は次のとおり。
- CVE-2022-40259 - Redfish APIを経由した任意のコード実行
- CVE-2022-40242 - SSH経由でUIDが0のシェルの認証情報取得
- CVE-2022-2827- API経由のユーザ一覧の取得
ベースボード管理コントローラ(BMC: Baseboard Management Controller)は、管理者が管理するサーバをほぼ完全にリモートで制御できるように設計されており、AMIのMegaRAC BMCはAMD、Ampere Computing、ASRock、Asus、ARM、Dell EMC、Gigabyte、Hewlett-Packard Enterprise、Huawei、Inspur、Lenovo、NVidia、Qualcomm、Quanta、Tyanなど、さまざまな大手サーバベンダーに提供されている。
これらの脆弱性は潜在的に非常に多くの機器に影響を与えると警告されており、攻撃者が機器だけでなく、データセンターやクラウドサービスを制御したり、損害を与えたりすることが可能と指摘されている。悪用された場合、侵入したサーバの遠隔操作、マルウェアやランサムウェア、ファームウェアのリモートインプラント、サーバへの物理的な攻撃などの被害を受ける可能性がある。ただし、これらの脆弱性が活発に悪用されているかどうかは、現時点では不明と伝えられている。
EclypsiumはBMC&Cに対する緩和策を提供している。MegaRAC BMCを利用している場合、脆弱性の詳細を確認するとともに緩和策を迅速に実施することが望まれる。
発見された脆弱性について、「CVE-2017-2827」とお伝えしておりましたが、正しくは「CVE-2022-2827」となります。
ご迷惑をおかけした読者の皆様ならびに関係各位には深くお詫び申し上げます。
