01 février 2023Ravie LakshmananSécurité des serveurs et du cloud

Vulnérabilités De La Chaîne D'approvisionnement Bmc

Deux autres failles de sécurité de la chaîne d’approvisionnement ont été révélées dans le logiciel AMI MegaRAC Baseboard Management Controller (BMC), près de deux mois après la découverte de trois vulnérabilités de sécurité dans le même produit.

Entreprise de sécurité du micrologiciel Eclypsium m’a dit les deux lacunes ont été retenues jusqu’à présent pour donner à AMI plus de temps pour concevoir les mesures d’atténuation appropriées.

Les problèmes, collectivement suivis comme BMC&Cpourrait servir de tremplin pour les cyberattaques, permettant aux acteurs de la menace d’obtenir l’exécution de code à distance et l’accès non autorisé à l’appareil avec des autorisations de superutilisateur.

Les deux nouveaux défauts en question sont les suivants –

Publicité
  • CVE-2022-26872 (Score CVSS : 8,3) – Interception de réinitialisation du mot de passe via l’API
  • CVE-2022-40258 (Score CVSS : 5,3) – Hachages de mots de passe faibles pour Redfish et API

Plus précisément, MegaRAC s’est avéré utiliser l’algorithme de hachage MD5 avec un sel global pour les appareils plus anciens, ou SHA-512 avec sels par utilisateur sur les appliances plus récentes, permettant potentiellement à un acteur malveillant de déchiffrer les mots de passe.

CVE-2022-26872, d’autre part, exploite une API HTTP pour duper un utilisateur afin qu’il lance une réinitialisation de mot de passe au moyen d’une attaque d’ingénierie sociale et définisse un mot de passe au choix de l’adversaire.

CVE-2022-26872 et CVE-2022-40258 s’ajoutent à trois autres vulnérabilités divulguées en décembre, notamment CVE-2022-40259 (cote CVSS : 9,9), CVE-2022-40242 (score CVSS : 8,3), et CVE-2022-2827 (Note CVSS : 7,5).

Il convient de souligner que les faiblesses ne sont exploitables que dans les scénarios où les BMC sont exposés à Internet ou dans les cas où l’acteur de la menace a déjà obtenu un accès initial à un centre de données ou à un réseau administratif par d’autres méthodes.

Le rayon d’explosion de BMC&C est actuellement inconnu, mais Eclypsium a déclaré qu’il travaillait avec AMI et d’autres parties pour déterminer l’étendue des produits et services touchés.

Gigabyte, Hewlett Packard Enterprise, Intel et Lenovo ont tous publié des mises à jour pour corriger les défauts de sécurité de leurs appareils. NVIDIA est attendu pour expédier un correctif en mai 2023.

« L’impact de l’exploitation de ces vulnérabilités comprend le contrôle à distance des serveurs compromis, le déploiement à distance de logiciels malveillants, de ransomwares et d’implantations de micrologiciels, et les dommages physiques au serveur (bricking) », a noté Eclypsium.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

Rate this post
Publicité
Article précédentLes initiés disent que Sony a réduit la production de PlayStation VR2; Sony dit : « Non, nous ne l’avons pas fait »
Article suivantAprès la meilleure soirée de tir de D1, les Texans veulent que le succès à domicile soit porté à UTA mercredi pour une chance de balayage
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici