К списку новостей
Новость:

Уязвимости в прошивках AMI MegaRAC, позволяющие удалённо выполнить код на уровне BMC-чипа

Дата: 2023-07-23

Исследователи из компании Eclypsium выявили две узявимости в контроллерах BMC (Baseboard Management Сontroller), оснащённых прошивками MegaRAC от компании American Megatrends (AMI), которые применяются многими производителями серверов для организации автономного управления оборудованием. Уязвимости позволяют неаутентифицированному атакующему получить доступ к управляющему окружению BMC и выполнить свой код на уровне прошивки через отправку специально оформленного запроса на HTTP-порт управляющего интерфейса Redfish (пришёл на смену IPMI). Как правило, доступ к BMC открывается только для локальной сети или сети датацентра, но случается, что его не закрывают и для обращения из глобальной сети. Эксплуатация уязвимостей в BMC также может быть произведена при наличии доступа к локальной операционной системе с целью повреждения оборудования. Проблемы устранены в обновлениях прошивки AMI MegaRAC BMC SPx_13.2 и SPx_12.4.

Последние новости: