Eclypsium araştırmacıları BMC sunucu yazılımında hacker’ların süper kullanıcı yetkilerini almalarına imkan veren bir güvenlik açığı tespit etti. Bu açıklar, dünya çapında milyonlarca sunucuyu etkileyebilir.
Eclypsium’dan siber güvenlik araştırmacıları, AMI MegaRAC Baseboard Management Controller (BMC) yazılımında iki kritik güvenlik açığı keşfetti.
Yazılım, BT ekiplerine bulut merkezi sunucularına tam erişim sağlayarak işletim sistemlerini yeniden yüklemelerine, uygulamaları yönetmelerine ve kapatılsalar bile uç noktaları yönetmelerine olanak sağlamak için tasarlanmış. Endüstri jargonunda, yazılım “bant dışı” ve “ışıklar kapalı” uzaktan sistem yönetimine izin veriyor. İki kusur, 9,9 önem puanıyla CVE-2023-34329 (HTTP üstbilgisi sahtekarlığı yoluyla kimlik doğrulama atlaması) ve 8,2 önem puanıyla CVE-2023-34330 (Dinamik Redfish Uzantısı arabirimi aracılığıyla kod enjeksiyonu) olarak izleniyor. Tehdit aktörleri, bu güvenlik açıklarını zincirleyerek Redfish uzaktan yönetim arayüzünü kullanabilir ve savunmasız sunucularda uzaktan kod yürütme yetenekleri elde edebiliyor. Aracın popülaritesi göz önüne alındığında bu, milyonlarca sunucu anlamına gelebilir. Çünkü güvenlik açığı bulunan ürün yazılımı, yüksek profilli bulut hizmeti ve veri merkezi sağlayıcılarına hizmet veren dünyanın en büyük sunucu üreticilerinden bazıları tarafından kullanılıyor: AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, HPE, Huawei ve daha fazlası.
Yapılan son araştırmalar, bulut sistemlerin benimsemesindeki artışa rağmen, kötü amaçlı yazılımları barındırmaktan bir kez daha USB gibi fiziksel depolama sürücülerinin sorumlu olduğunu iddia etti. Mandiant‘daki siber güvenlik uzmanları, 2023’ün ilk yarısında USB tabanlı…
Milyonlarca sunucu tehdit altında!
Araştırmacılar, tehdit aktörlerinin hassas verilere erişebileceği, fidye yazılımları, truva atları yükleyebileceği ve hatta sunucuları durdurulamaz. Araştırmacılar yazılarında: “Böyle bir implantın tespit edilmesinin son derece zor olabileceğini ve herhangi bir saldırgan için tek satırlık bir istismar biçiminde yeniden oluşturulmasının son derece kolay olduğunu da vurgulamamız gerekiyor” diyor.
O zamandan beri, potansiyel tehlikeye karşı korunmanın en iyi yolu olduğu için müşterilerine hemen uygulamalarını tavsiye eden AMI tarafından bir yama kullanıma sunuldu. Bu kusurlar, muazzam yıkıcı potansiyelleri nedeniyle önemli. Bunlar bir donanım bileşenleri tedarikçisinde bulunduğundan, sayısız kuruluşu etkileyerek birçok bulut hizmeti sağlayıcısına kadar inebilir. Bu ikisi gibi güvenlik açıkları, tedarik zinciri saldırılarının ana damarını vurmaya eşit.
runZero’nun CTO’su ve kurucu ortağı HD Moore için potansiyel olarak etkilenen müşterilerin sistemlerine derhal yama uygulaması çok önemli. HD Moore: “Eclypsium tarafından tanımlanan saldırı zinciri, uzaktaki bir saldırganın savunmasız MegaRAC BMC’lerini tamamen ve muhtemelen kalıcı olarak tehlikeye atmasına olanak tanıyor. Bu saldırı yüzde 100 güvenilir olacak ve olaydan sonra tespit edilmesi zor olacak” diyor.
