American Megatrends(AMI)MegaRAC基带管理控制器(BMC)软件近日曝出了三个漏洞,许多云服务和数据中心提供商使用的服务器设备因而受到影响。
BMC是服务器中的独立计算机,它们有自己的独立电源、固件、内存和网络系统,旨在让管理员可以近乎全面远程控制他们管理的服务器。
MegaRAC则被认为是全球领先的BMC远程管理固件提供商之一,充当“成千上万服务器中的现代计算环境中的基础性组件”,这些服务器广泛用于全球各地的数据中心、服务器集群和云基础架构。
这些漏洞是由安全公司Eclypsium在2022年8月发现的,可以使攻击者在某些条件下执行代码、绕过身份验证和执行用户枚举。研究人员在检查American Megatrends被泄露的专有代码后发现了这些漏洞,专有代码具体是指MegaRAC BMC固件。MegaRAC BMC是一套全面的“带外”“无人值守”远程系统管理解决方案,允许管理员远程排除服务器故障,就像站在设备跟前一样。
MegaRAC BMC固件被至少15家服务器厂商所使用,包括AMD、Ampere Computing、ASRock、华硕、ARM、戴尔EMC、技嘉、HPE、华为、浪潮、联想、英伟达、高通、广达和泰安(Tyan)