7020 подписчиков
BMC&C — пять уязвимостей в Baseboard Management Controller (BMC)
В прошивках BMC крупных производителей серверного оборудования обнаружено пять уязвимостей, позволяющих злоумышленникам удалённо выполнить код и получить управление системой.
Уязвимости обнаружили специалисты компании Eclypsium, которые назвали их BMC&C. О трёх из пяти уязвимостей было заявлено ещё в декабре 2022 года, когда проприетарный код American Megatrends, а именно прошивки MegaRAC BMC, утек в сеть. А на прошлой неделе в копилку добавили ещё две уязвимости, дали AMI больше времени для решения проблем.
Ошибки обнаружены в вычислительных платформах системы на кристалле (SoC), которые используют программное обеспечение AMI MegaRAC Baseboard Management Controller (BMC). MegaRAC от AMI представляет собой коллекцию программного обеспечения, основанного на проекте прошивки Open BMC — проекте с открытым исходным кодом для разработки и поддержки встроенного ПО контроллера управления основной платой. Эту систему используют многие крупные поставщики.
Эксплуатация уязвимости возможна при наличии сетевого подключения к BMC.
Около минуты
4 февраля 2023
166 читали