Критические дыры в прошивке миллионов устройств открывают статус суперюзера

Около двух лет назад злоумышленники взломали Gigabyte и стащили более 112 ГБ данных, включая важнейшую информацию о партнёрах техногиганта, участвующих в цепочке поставок (например, Intel и AMD). Теперь эксперты предупреждают о критических уязвимостях нулевого дня, которые могла раскрыть утечка.

Бреши присутствуют в прошивке, которую компания AMI производит для микроконтроллеров BMC (Baseboard Management Controller). Как известно, эти небольшие устройства, впаянные в материнские платы на серверах, позволяют облачным центрам упрощать удалённое управление масштабными парками компьютеров.

С их помощью администраторы могут переустанавливать операционные системы, инсталлировать и деинсталлировать приложения и контролировать другие аспекты компьютера даже в выключенном состоянии.

Специалисты компании Eclypsium изучили прошивку AMI, которая утекла в ходе киберинцидента 2021 года, и нашли в ней неизвестные ранее уязвимости. Эти бреши может использовать как локальный, так и удалённый злоумышленник, у которого есть доступ к интерфейсу Redfish.

В результате условный атакующий может выполнить вредоносный код на каждом сервере в центре обработки данных. К счастью, AMI вчера выпустила (PDF) обновления, устраняющие описанные Eclypsium уязвимости.

Производитель рекомендует не пренебрегать оперативной установкой патча, поскольку злоумышленники могут воспользоваться дырами для получения статуса суперпользователя и установки шифровальщиков или шпионских программ.

В настоящее время уязвимостям уже присвоили идентификаторы:

• CVE-2023-34329 — возможность обхода аутентификации с помощью заголовков HTTP. Получила 9,9 балла из 10.
• CVE-2023-34330 — возможность инъекции кода с помощью Dynamic Redfish Extension. 8,2 балла.

В прошлом месяце Gigabyte выпустила обновление прошивки, устраняющее бэкдор в материнках.