Xakep #305. Многошаговые SQL-инъекции
Эксперты обнаружили сразу три уязвимости в программном обеспечении MegaRAC BMC (Baseboard Management Controller) компании American Megatrends. Проблемы затрагивают серверное оборудование, используемое многими дата-центрами и поставщиками облачных сервисов.
Уязвимости были найдены специалистами компании Eclypsium в августе 2022 года, когда проприетарный код American Megatrends, в частности прошивки MegaRAC BMC, «утек» в сеть. Изучив прошивку, эксперты обнаружили баги, который при определенных условиях могут использоваться для выполнения произвольного кода, обхода аутентификации и составления списков пользователей.
Напомню, что BMC оснащаются собственным CPU, системой хранения данных и LAN-интерфейсом, через который удаленный администратор может подключиться и отдать серверу или ПК команду на выполнение определенных операций (изменение настроек ОС, переустановка ОС, обновление драйверов и так далее). Фактически такие решения позволяют администраторам удаленно устранять многие неполадки, будто они физически присутствуют рядом с устройством.
MegaRAC BMC применяются как минимум 15 крупными производителями серверов, включая AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta и Tyan.
Исследователи выявили следующие проблемы, о которых уже уведомили American Megatrends и затронутых поставщиков:
- CVE-2022-40259: критическая уязвимость, допускающая выполнение произвольного кода через API Redfish из-за некорректного раскрытия команд пользователю (9,9 балла из 10 возможных по шкале CVSS 3.1);
- CVE-2022-40242: учетные данные по умолчанию для пользователя sysadmin, позволяющие злоумышленнику установить административный шелл (8,3 балла по шкале CVSS 3.1);
- CVE-2022-2827: ошибка манипулирования запросами, позволяющая перечислить имена пользователей и определять, существует ли в системе конкретная учетная запись (7,5 балла по шкале CVSS 3.1).
Эксперты подчеркивают, что наиболее серьезная из трех уязвимостей, CVE-2022-40259, требует предварительного доступа хотя бы к учетной записи с низким уровнем привилегий для выполнения обратного вызова API. Однако для эксплуатации CVE-2022-40242 единственным условием является наличие удаленного доступа к устройству. Таким образом, первые две проблемы крайне серьезны, так как предоставляют злоумышленникам доступ к административной оболочке без необходимости дальнейшего повышения привилегий.
Третий недостаток не оказывает существенного влияния на безопасность, но дает представление о существовании тех или иных учтенных записей, а значит, может открыть прямой путь к перебору паролей или атакам типа credential stuffing (с подстановкой уже известных хакерам учетных данных).
«Эти уязвимости могут создать серьезные риски, если злоумышленник имеет доступ к BMC уязвимого сервера. В соответствии с передовыми практиками безопасности, BMC не должны быть открыты для прямого доступа из интернета, и сканирование, проведенное нами после первоначального раскрытия уязвимостей, показывает относительно низкую общедоступность (по сравнению с недавними громкими уязвимостями, найденными в других инфраструктурных продуктах).
Но довольно часто можно найти BMC, которые подвергаются риску либо из-за неправильной конфигурации, либо из-за плохой ИБ-гигиены. Кроме того, этими уязвимостями сможет воспользоваться злоумышленник, получивший первоначальный доступ к центру обработки данных или административной сети», — гласит отчет компании.
Эксперты пишут, что последствия эксплуатации трех найденных уязвимостей могут включать удаленное управление скомпрометированными серверами, удаленное развертывание вредоносных программ, программ-вымогателей и вредоносных прошивок, а также физическое повреждение серверов, вплоть до их превращения в «кирпич».
«Поскольку дата-центры имеют тенденцию стандартизировать определенные аппаратные платформы, любая уязвимость уровня BMC, скорее всего, коснется большого количества устройств и потенциально может затронуть весь центр обработки данных и услуги, которые тот предоставляет. Стандартизация серверных компонентов хостинговыми и облачными провайдерами означает, что эти уязвимости могут затрагивать сотни тысяч или даже миллионы систем», — предупреждают в Eclypsium.