Siber güvenlik firması Eclypsium‘daki araştırmacılar, American Megatrends International (AMI) tarafından üretilen MegaRAC Baseboard Management Controller (BMC) yazılımında iki yeni kritik güvenlik açığı keşfetti. Bu açıklar aracılığıyla bilgisayar korsanlarının milyonlarca bilgisayarı uzaktan erişim sağlayabilir ve aynı zamanda cihazları uzaktan kilitleyebilir. Milyonlarca sistem risk altında
BMC’ler, sistem yöneticilerinin kapalı olsalar bile sunucularıuzaktan izlemelerine ve kontrol etmelerine olanak tanıyarak büyük veya küçük sunucu filolarının, bilgisayarların veya diğer donanım aygıtlarının yönetimini kolaylaştırmaya yardımcı olmakta. BMC’lerin sistem yöneticilerine sağladığı kapsamlı kontrol göz önüne alındığında, yazılımdaki herhangi bir güvenlik açığı kötü haber olarak kabul edilebilir. BMC ürün yazılımının Ampere, Asrock, Asus, Arm, Dell, Gigabyte, HPE, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta ve Tyan gibi büyük satıcıların milyonlarca cihazında bulunduğunu da düşündüğümüzde bu kötü haber, daha da kötü bir hal alabilir.
BMC ürün yazılımında yeni keşfedilen güvenlik açıkları CVE-2023-34329 ve CVE-2023-34330 olarak kodlandı. Bunlardan ilki HTTP başlıklarının taklit edilmesiyle istismar edilebilecek kritik bir kimlik doğrulama sorunu iken, ikincisi bir kod enjeksiyonu hatası olarak belirtiliyor. Güvenlik açıkları, 2021 Gigabyte veri ihlalinden sızdırılan AMI kaynak kodunun analiz edilmesiyle keşfedildi. 112 GB’lık gizli veri, RansomEXX grubu tarafından çalınmıştı.
Eclypsium’un blog yazısına göre, yeni güvenlik açıkları, etkilenen sunucular ve diğer cihazlar için kritik bir tehdit oluşturuyor. Zira bilgisayar korsanları bu açıklardan faydalanarak herhangi bir yazılımı yüklemek veya kaldırmak da dahil olmak üzere uzaktan neredeyse her şeyi yapabilirler. Araştırmacılar, her iki güvenlik açığının da istismar edildiğinden haberdar olmadıklarını, ancak bilgisayar korsanlarının etkilenen sistemleri başarılı bir şekilde hedef almasının mümkün olduğunu söylüyorlar.
