Идентификатор: BDU:2022-07325.
Наименование уязвимости: Уязвимость микропрограммного обеспечения контроллера удаленного управления серверами AMI MegaRAC Baseboard Management Controller (BMC), позволяющая нарушителю получить полный доступ к устройству.
Описание уязвимости: Уязвимость микропрограммного обеспечения контроллера удаленного управления серверами AMI MegaRAC Baseboard Management Controller (BMC) связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к устройству через SSH
Уязвимое ПО: Микропрограммный код AMI AMI MegaRAC – | Сетевое средство, ПО сетевого программно-аппаратного средства Hewlett Packard Enterprise Development LP HPE Cloudline CL2200 Gen10 Server до 12.77.04 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Hewlett Packard Enterprise Development LP HPE Cloudline CL2100 Gen10 Server до 12.77.04 включительно | Микропрограммный код Lenovo Group Limited Rack Server – RD350G (Hyperscale) до 9.22.53751 | Микропрограммный код Lenovo Group Limited HG680X – | Микропрограммный код Lenovo Group Limited SR635 до 5.84 | Микропрограммный код Lenovo Group Limited SR655 до 5.84 | Микропрограммный код Lenovo Group Limited Converged HX3710 – | Микропрограммный код Lenovo Group Limited Converged HX3710-F – | Микропрограммный код Lenovo Group Limited Converged HX2710-E – | Микропрограммный код Lenovo Group Limited HR610X – | Микропрограммный код Lenovo Group Limited HR630X – | Микропрограммный код Lenovo Group Limited HR650X – | Микропрограммный код Lenovo Group Limited ThinkSystem HR650M-V2 – | Микропрограммный код Lenovo Group Limited N3310 Storage – | Микропрограммный код Lenovo Group Limited N4610 Storage – | Микропрограммный код Lenovo Group Limited RD350 – | Микропрограммный код Lenovo Group Limited RD450 – | Микропрограммный код Lenovo Group Limited RD550 – | Микропрограммный код Lenovo Group Limited RD650 – | Микропрограммный код Lenovo Group Limited RS160 – | Микропрограммный код Lenovo Group Limited RS260 – | Микропрограммный код Lenovo Group Limited SD350 – | Микропрограммный код Lenovo Group Limited TD350 – | Микропрограммный код Lenovo Group Limited TS460 – | Микропрограммный код Lenovo Group Limited TS560 – | Микропрограммный код Gigabyte Technology Co., Ltd. ASPEED AST2500 до 12.60.39 | Микропрограммный код Gigabyte Technology Co., Ltd. ASPEED AST2600 до 13.04.12 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 06.12.2022.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
– сегментирование сети с целью ограничения доступа к серверному оборудованию;
– использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
– применение систем обнаружения вторжений
– отключение встроенных учетных записей..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-40242.
Тип ошибки CWE: CWE-798
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk/
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbhf04385en_us
https://support.lenovo.com/us/en/product_security/LEN-98711
https://www.gigabyte.com/Support/Security/2044
