این آسیبپذیری خطرناک نرمافزاری، میلیونها کامپیوتر را در معرض خطر هک قرار داده است!
محققان شرکت امنیت سایبری Eclypsium دو آسیبپذیری بسیار مهم جدید در نرمافزار MegaRAC Baseboard Management Controller (BMC) کشف کردهاند. BMCها به سادهسازی مدیریت سرورهای بزرگ کمک میکنند و به مدیران اجازه میدهند حتی زمانی که سیستمها خاموش هستند آنها را از راهدور کنترل کنند. نرمافزار BMC که به عنوان مدیریت سیستم «چراغ خاموش» نیز شناخته میشود بهطور همزمان کنترل گستردهای روی چندین سرور ارائه میدهد و همین ویژگی باعث شده به هدف بسیار جذابی برای هکرها تبدیل شوند.
به این دلیل که نرمافزارهای BMC، امکانات بسیار زیادی دراختیار مدیران سیستم قرار میدهند، هرگونه آسیبپذیری امنیتی در این برنامهها خبر بسیار بدی محسوب میشود. برخی از این نرمافزارها مثل MegaRAC که American Megatrends International (AMI) آن را توسعه داده، در میلیونها کامپیوتر تولیدشده در شرکتهای ایسوس، ازراک، لنوو، هواوی، HP، گیگابایت، دل و غیره مورد استفاده قرار میگیرد.
محققان اخیراً آسیبپذیریهای جدیدی با شناسهی CVE-2023-34329 و CVE-2023-34330 در در نرمافزار MegaRAC شناسایی کردهاند. اولین باگ، امکان دورزدن احراز هویت را فراهم میکند و بدینترتیب میتواند با جعل هدرهای HTTP، مورد سوءاستفاده قرار گیرد و دومین باگ، تزریق کد است.
طبق پست وبلاگی Eclypsium، آسیبپذیریهای جدید در نرمافزار MegaRAC BMC، تهدیدی بسیار مهم برای سازمانهای سرتاسر جهان محسوب میشوند، زیرا عوامل مخرب میتوانند تقریباً هرکاری ازجمله نصب و حذف نرمافزارها را بهصورت راه دور انجام دهند.
محققان Eclypsium همچنین سناریویی برای توضیح آنچه در معرض خطر قرار دارد ارائه کردند. براساس اعلام این تیم تحقیقاتی، هکرها میتوانند بهراحتی کامپیوتر آلوده را تحت کنترل خود درآورند و از عملکردهای BMC برای جلوگیری از دسترسی کاربران اصلی به سیستم بهره ببرند. از آنجا که شناسایی منبع دقیق چنین حملههایی بسیار دشوار است، مهاجمان از آن برای اخاذی از شرکتها بهره میبرند.
محققان همچنین خاطرنشان کردند هکرها با کنترل سیستمهای سازمانها حتی میتوانند بهطور مخفیانه به عملکرد KVM (صفحهکلید، ویدیو، ماوس) برای نظارت بر کاربران اصلی و حتی کنترل کامپیوتر آنها دسترسی داشته باشند. تهدید دیگر، دستکاری مدیریت انرژی سیستم است که میتواند کل شبکه را بهطور یکجا با مشکل جدی مواجه کند.