- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 10м
- Сделки
- 251
- Нарушения
- 0 / 0
Компания по обеспечению безопасности микропрограммного обеспечения Eclypsium заявила , что American Megatrends давно в курсе проблемы. Огласке уязвимости решили придать только сейчас, чтобы дать инженерам компании дополнительное время для их устранения.
Данные уязвимости могут послужить трамплином для кибератак, так как позволяют злоумышленникам удаленно выполнять код и получать несанкционированный доступ к устройствам с правами суперпользователя.
Суть уязвимостей заключается в следующем:
- CVE-2022-26872 (оценка CVSS: 8.3) — перехват сброса пароля через API;
- CVE-2022-40258 (оценка CVSS: 5.3) — слабые хэши паролей для Redfish и API.
CVE-2022-26872 и CVE-2022-40258 дополняют три другие уязвимости, обнаруженные в декабре, в том числе CVE-2022-40259 (оценка CVSS: 9,9), CVE-2022-40242 (оценка CVSS: 8,3) и CVE-2022-2827 (оценка CVSS: 7,5).
Стоит отметить, что эти уязвимости можно использовать только в сценариях, когда BMC подключены к Интернету, или в случаях, когда злоумышленник уже получил первоначальный доступ к центру обработки данных или к административной сети другими способами.
Gigabyte, Hewlett Packard Enterprise, Intel и Lenovo выпустили обновления для устранения дефектов безопасности в своих устройствах. Ожидается, что NVIDIA выпустит исправление в мае 2023 года.
«Последствия использования этих уязвимостей включают удаленное управление скомпрометированными серверами, удаленное развертывание вредоносных программ, программ-вымогателей и имплантатов встроенного программного обеспечения, а также физическое повреждение сервера», — отметили в Eclypsium.