พบช่องโหว่ความรุนแรงสูงบน AMI MegaRAC กระทบผู้ผลิต Server หลายราย

พบช่องโหว่ความรุนแรงสูงจำนวน 3 รายการ บน AMI MegaRAC BMC กระทบผู้ผลิต Server หลายราย

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก Eclypsium ได้ค้นพบช่องโหว่จำนวน 3 รายการที่เกิดขึ้นในซอฟต์แวร์ American Megatrends MegaRAC Baseboard Management Controller (BMC) ซึ่งถูกใช้งานใน Server เป็นหลัก ทำให้กระทบผู้ผลิต Server หลายราย เช่น AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta, และ Tyan สำหรับรายละเอียดแต่ละช่องโหว่มีดังนี้

  • CVE-2022-40259: ทำให้ผู้โจมตีสามารถรันคำสั่งที่ต้องการผ่านทาง Redfish API ได้ มีคะแนน CVSS v3.1 ที่ 9.9 คะแนน ถือเป็นช่องโหว่ระดับ Critical
  • CVE-2022-40242: เกิดขึ้นจาก Default credential ของผู้ดูแลระบบ ทำให้ผู้โจมตีสามารถสั่งเปิดการใช้งาน Admin Shell ได้ มีคะแนน CVSS v3.1 ที่ 8.3 คะแนน
  • CVE-2022-2827: ทำให้ผู้ไม่หวังดีสามารถส่ง Request เพื่อค้นหาและคาดเดา Username ในระบบว่ามีอยู่หรือไม่ มีคะแนน CVSS v3.1 ที่ 7.5 คะแนน

Eclypsium ได้แนะนำผู้ที่ดูแล Server ควรทำการแยกเครือข่าย BMC ที่ใช้ในการทำ Remote Management สำหรับ Server ออกจากเครือข่ายปกติ และควรมีการอัปเดต Firmware และทำ Vulnerability Assessments สำหรับ Server อย่างสม่ำเสมอ เพื่อป้องกันการโจมตี

ที่มา: https://www.bleepingcomputer.com/news/security/severe-ami-megarac-flaws-impact-servers-from-amd-arm-hpe-dell-others/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

แคสเปอร์สกี้และสกมช. จับมือต่ออายุ MoU เสริมแกร่งความมั่นคงทางไซเบอร์ของไทย [PR]

แคสเปอร์สกี้ (Kaspersky) และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ต่ออายุและขยายบันทึกความเข้าใจ (Memorandum of Understanding) เพื่อกระชับความร่วมมือเชิงกลยุทธ์ในการเสริมสร้างความเข้มแข็งด้านความมั่นคงทางไซเบอร์ของประเทศไทย ข้อตกลงนี้สร้างขึ้นบนพื้นฐานของภัยคุกคามที่ซับซ้อนและมีเป้าหมายการโจมตีมากขึ้นในประเทศไทย และมุ่งสร้างกรอบการทำงานที่ครอบคลุมสำหรับการแบ่งปันข้อมูลภัยคุกคาม การสร้างขีดความสามารถด้านเทคโนโลยีในประเทศ และการสนับสนุนการฝึกอบรมด้านความมั่นคงทางไซเบอร์ภายใต้แนวคิด Kaspersky Global …

AskMe ตอกย้ำมาตรฐานการให้บริการระดับสากล ด้วย ISO/IEC 27001 และ ISO/IEC 20000-1 พร้อมยกระดับการให้บริการด้วย Enterprise Service Platform เพื่อธุรกิจยุคดิจิทัล [PR]

ในยุคที่องค์กรกำลังเร่งขับเคลื่อน Digital Transformation ความต้องการด้านเทคโนโลยีไม่ได้จำกัดอยู่เพียงแค่ “ระบบที่ใช้งานได้” อีกต่อไป แต่ยังรวมถึงความมั่นคงปลอดภัยของข้อมูล ความน่าเชื่อถือของบริการ และความสามารถในการรองรับการดำเนินงานทางธุรกิจได้อย่างต่อเนื่อง