て3つの重大な脆弱性があることが昨年末に判明しており、さらに2つの脆弱性が存在することが明らかとなった。
Eclypsiumはこのほど、「Supply Chain Vulnerabilities Put Server Ecosystem At Risk - Eclypsium」において、American MegatrendsのMegaRACベースボード管理コントローラ(BMC: Baseboard Management Controller)に2つの重大な脆弱性があることを伝えた。同機能には3つの重大な脆弱性があることが昨年末に判明しており、さらに2つの脆弱性が存在することが明らかとなった(参考「サーバ管理する機能(BMC)に緊急の脆弱性、多くのサーバに影響か | TECH+(テックプラス)」)。
公開された新たな脆弱性は次のとおり。
- CVE-2022-26872 - API経由でのパスワードリセットの傍受
- CVE-2022-40258 - AMI Megarac RedfishおよびAPIの脆弱なパスワードハッシュ
深刻度はそれぞれCVE-2022-26872がCVSSv3スコア値8.3で重要(High)、CVE-2022-40258がCVSSv3スコア値5.3で警告(Medium)と位置づけられており注意が必要。
報告済みの3つの重大な脆弱性(CVE-2022-40259、CVE-2022-40242、CVE-2022-2827)を含むこれらの欠陥は総称して「BMC&C」と呼ばれている。BMC&Cが悪用された場合、侵害されたサーバの操作、マルウェアの展開、ランサムウェアの配置、サーバへの物理的な損傷などの被害を受ける可能性が指摘されている。現時点でこれらの脆弱性が活発に悪用されているかどうかは不明とされている。
Gigabyte、Hewlett-Packard Enterprise、Inspur、Intel、Lenovoなど一部の大手サーバベンダーは、この問題に対してセキュリティアドバイザリを公開し、対応が進められている。NVidiaも2023年5月に修正プログラムをリリースする予定とされている。
EclypsiumはBMC&Cに対する緩和策を提供している。MegaRAC BMCを利用している場合、脆弱性の詳細を確認するとともに緩和策を迅速に実施することが望まれる。