关于AMI MegaRAC BMC多个高危漏洞安全风险通告

2022-12-0810

一、背景介绍

近日,市委网信办技术支撑单位监测到Eclypsium官方发布American Megatrends Inc (AMI) MegaRAC底板管理控制器(Baseboard Management Controller,BMC) 软件中的3个高危漏洞,包括:AMI MegaRAC BMC远程代码执行漏洞(CVE-2022-40259)、AMI MegaRAC BMC默认凭据漏洞(CVE-2022-40242)以及AMI MegaRAC BMC信息泄露漏洞(CVE-2022-2827)。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。 

1.1 漏洞描述

AMI MegaRAC BMC远程代码执行漏洞(CVE-2022-40259),存在于Redfish API中,拥有低权限的远程攻击者可利用此漏洞以超级用户权限执行任意代码。

AMI MegaRAC BMC默认凭据漏洞(CVE-2022-40242),MegaRAC BMC 使用默认凭证的硬编码密码,未经授权的远程攻击者可利用此漏洞以超级用户权限执行任意代码。

AMI MegaRAC BMC信息泄露漏洞(CVE-2022-2827),MegaRAC BMC 存在信息泄露漏洞,未经授权的远程攻击者可通过向目标设备发送密码重置请求来泄露用户名信。

1.2 漏洞编号

CVE-2022-40259

CVE-2022-40242

CVE-2022-2827


二、修复建议

2.1 受影响版本

基于MegaRAC BMC固件的产品,MegaRAC BMC 固件至少被 15 家制造商使用。Intel已发布针对Intel MegaRAC BMC产品的CVE-2022-40242与CVE-2022-2827 通告,受影响版本为:

Intel Server Board M10JNP2SB Family BMC Firmware < 1.11

Intel Server Board M20NTP Family BMC Firmware < v0027

Intel Server Board M70KLP2SB Family BMC Firmware < 4.15

2.2修复建议

确保环境中的所有远程服务器管理接口(例如 Redfish、IPMI)和BMC子系统都在其专用管理网络上并且没有暴露在外部,并确保内部 BMC接口仅限于具有 ACL 或防火墙的管理用户访问。查看设备固件的供应商默认配置,禁用内置管理账户或启用远程身份验证。