Kecacatan Parah AMI MegaRAC Memengaruhi Server dari AMD, ARM, HPE, Dell, dan lainnya

Tiga kerentanan dalam perangkat lunak American Megatrends MegaRAC Baseboard Management Controller (BMC) berdampak pada peralatan server yang digunakan di banyak penyedia layanan cloud dan pusat data.

Kecacatan yang ditemukan oleh Eclypsium pada Agustus 2022 ini memungkinkan penyerang, dalam kondisi tertentu untuk mengeksekusi kode, melewati autentikasi, dan melakukan pencacahan pengguna.

Peneliti menemukan kekurangan tersebut setelah memeriksa kode hak milik American Megatrends yang bocor, khususnya firmware MegaRAC BMC. Firmware tersebut digunakan oleh setidaknya 15 produsen server, termasuk AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta, dan Tyan.

MegaRAC BMC adalah solusi untuk manajemen sistem jarak jauh “out-of-band” dan “lights-out”, yang memungkinkan admin memecahkan masalah server dari jarak jauh.

Detail Kerentanan
Tiga kerentanan yang ditemukan oleh Eclypsium dan dilaporkan ke American Megatrends dan vendor yang terpengaruh yaitu CVE-2022-40259, CVE-2022-40242, dan CVE-2022-2827.

Satu diantaranya memiliki skor dengan tingkat kritis, dan dua lainnya memiliki skor dengan tingkat tinggi. Tingkat kritis adalah kerentanan yang terparah yang mana memerlukan akses sebelumnya ke setidaknya akun dengan hak istimewa rendah untuk melakukan callback API.

Dampak
Kerentanan yang parah memberikan penyerang akses ke shell administratif tanpa memerlukan eskalasi lebih lanjut.

Hal ini dapat menyebabkan manipulasi data, pelanggaran data, pemadaman layanan, gangguan bisnis, dan lainnya.

Sementara kerentanan dengan skor tingkat tinggi awal tidak memiliki dampak keamanan langsung yang signifikan, namun dapat membuka jalan untuk memeriksa kata sandi baru karena mengetahui akun apa yang ada di target.

Tindakan antisipasi yang dapat dilakukan adalah admin sistem disarankan untuk menonaktifkan opsi administrasi jarak jauh, menambahkan langkah autentikasi jarak jauh jika memungkinkan, meminimalkan paparan eksternal antarmuka manajemen server, dan memastikan pembaruan firmware terbaru yang tersedia diinstal di semua sistem.

Selengkapnya: BLEEPINGCOMPUTER

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings