Een kritieke kwetsbaarheid in MegaRAC BMC stelt niet-gemachtigde aanvallers in staat om code op servers uit te voeren. MegaRAC BMC is een van de populairste server management-oplossingen ter wereld.

On-premises datacenters en cloudproviders gebruiken MegaRAC BMC om servers op afstand te beheren. De technologie wordt verwerkt in systemen van fabrikanten als Dell EMC, HPE, Lenovo en AMD.

In augustus 2022 ontdekte securitybedrijf Eclypsium drie kwetsbaarheden in de firmware van MegaRAC BMC. De kwetsbaarheden werden onlangs bekendgemaakt.

Kritieke kwetsbaarheid

Het ernstigste probleem (CVE-2022-40259) ontving een CVSS-score van 9,9. De kwetsbaarheid maakt het mogelijk om code uit te voeren door een Redfish API call te verzenden naar systemen met de firmware van MegaRAC BMC.

Redfish is een API-standaard voor server management. De standaard wordt door de meeste infrastructuurleveranciers ondersteund. De firmware van MegaRAC BMC bevat een implementatie van Redfish. Een fout in de implementatie stelt aanvallers in staat om code in een Redfish API call te verzenden en door een systeem uit te laten voeren.

Redfish API calls worden niet zomaar door elke verzender geaccepteerd. Een aanvaller heeft een account met een laag machtigingsniveau nodig om de kwetsbaarheid te kunnen misbruiken.

Kwetsbaarheden met dergelijke voorwaarden ontvangen zelden CVSS-scores van 9,9, maar dit is een uitzonderlijk geval. MegaRAC BMC is een industriestandaard voor server management. De firmware van de oplossing wordt in een gigantisch aantal hardwaresystemen verwerkt.

Geen simpele patch

De ontwikkelaar van MegaRAC BMC is American Megatrends. Eclypsium werkte in de afgelopen maanden met American Megatrends samen om de impact van de kwetsbaarheid te beperken.

Omdat MegaRAC BMC in diverse hardwaresystemen en softwareoplossingen wordt verwerkt is het lastig om de kwetsbaarheid met een enkele patch op te lossen.

Volgens Eclypsium is het op dit moment niet duidelijk of de kwetsbaarheid actief door cybercriminelen wordt misbruikt. Het securitybedrijf adviseert organisaties om een aantal voorzorgsmaatregelen te treffen.

Adminaccounts en gebruikersnamen

Naast het probleem in Redfish ontdekte Eclypsium twee kwetsbaarheden met lagere CVSS-scores. Allereerst gebruikt MegaRAC BMC een standaard adminaccount met een standaard wachtwoord, waardoor aanvallers toegang kunnen krijgen tot hoge machtigingen (CVE-2022-40242).

Ten tweede maakt het wachtwoordherstelproces van MegaRAC BMC het mogelijk om te controleren of een gebruikersnaam in gebruik is, waardoor aanvallers de gebruikersnamen van accounts kunnen achterhalen (CVE-2022-2827).

Tip: OT-security van datacenters moet veel hoger op de agenda staan