AMI MegaRAC BMC软件漏洞警报

关键要点

最近发现了AMI MegaRAC Baseboard Management Controller (BMC)软件中的高危和严重漏洞。这些漏洞可能被攻击者用来进行远程服务器接管和恶意软件传播。漏洞编号为CVE202334329和CVE202334330，可能导致Redfish远程管理接口认证绕过。攻击者可以实现BMC芯片上的任意代码执行，且难以通过操作系统重装或硬盘更换来修复。研究指出，这些漏洞可能影响整个技术供应链，为长期网络间谍活动提供便利。

根据The Hacker News的报道，AMI MegaRAC BMC软件中发现了几项新的高危和关键漏洞。攻击者可能利用这些漏洞实现远程服务器的接管以及恶意软件的投递。报告指出，这些漏洞的追踪编号为CVE202334329和CVE202334330，攻击者可以通过链式利用这些漏洞来绕过Redfish远程管理接口的认证，从而在BMC芯片上执行任意代码，并分发不可通过重新安装操作系统或更换硬盘来修复的有效载荷。

推特加速器官网漏洞编号描述CVE202334329关键漏洞，可能导致Redfish接口认证绕过CVE202334330高危漏洞，可能使BMC芯片发生任意代码执行CVE202240258可与上述漏洞结合使用以获取BMC管理员密码

虽然目前没有任何证据表明这些漏洞在现实环境中被利用，研究人员仍警告称，利用这些漏洞的潜在攻击可能会导致长期的网络间谍活动。研究表明：“这些漏洞对支撑云计算的技术供应链构成了重大风险。简而言之，组件供应商的漏洞会影响许多硬件供应商，而这些后果最终可能传递给多个云服务。”

因此，确保及时更新和修补这些关键漏洞十分重要，以维护信息安全。