BDU:2022-07173

Опубликовано: 06 дек. 2022

Источник: fstec

CVSS3: 9.9

CVSS2: 9

EPSS Низкий

Описание

Уязвимость интерфейса API Redfish микропрограммного обеспечения контроллеров удаленного управления AMI MegaRAC связана с ошибками при генерации кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код при помощи отправки специально сформированного HTTP-запроса

Вендор

AMI

HP Inc.

Lenovo Group Limited

Gigabyte Technology Co., Ltd.

Наименование ПО

AMI MegaRAC

HPE Cloudline CL2200 Gen10 Server

HPE Cloudline CL2100 Gen10 Server

Rack Server - RD350G (Hyperscale)

HG680X

SR635

SR655

Converged HX3710

Converged HX3710-F

Converged HX2710-E

HR610X

HR630X

HR650X

ThinkSystem HR650M-V2

N3310 Storage

N4610 Storage

RD350

RD450

RD550

RD650

RS160

RS260

SD350

TD350

TS460

TS560

ASPEED AST2500

ASPEED AST2600

Версия ПО

- (AMI MegaRAC)

до 12.77.04 включительно (HPE Cloudline CL2200 Gen10 Server)

до 12.77.04 включительно (HPE Cloudline CL2100 Gen10 Server)

до 9.22.53751 (Rack Server - RD350G (Hyperscale))

- (HG680X)

до 5.84 (SR635)

до 5.84 (SR655)

- (Converged HX3710)

- (Converged HX3710-F)

- (Converged HX2710-E)

- (HR610X)

- (HR630X)

- (HR650X)

- (ThinkSystem HR650M-V2)

- (N3310 Storage)

- (N4610 Storage)

- (RD350)

- (RD450)

- (RD550)

- (RD650)

- (RS160)

- (RS260)

- (SD350)

- (TD350)

- (TS460)

- (TS560)

до 12.60.39 (ASPEED AST2500)

до 13.04.12 (ASPEED AST2600)

Тип ПО

Микропрограммный код

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- использование средств межсетевого экранирования для ограничения удаленного доступа к устройству;

- ограничение доступа из внешних сетей (Интернет);

- сегментирование сети с целью ограничения доступа к оборудованию из внешних сетей;

- отключение встроенных учетных записей и удаленной аутентификации (если возможно).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-40259
CVE

EPSS

Процентиль: 53%

0.00302

Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2022-40259

CVSS3: 8.3

nvd

около 3 лет назад

MegaRAC Default Credentials Vulnerability

GHSA-77p4-47r7-prgw

CVSS3: 9.8

github