BDU:2022-07325

Опубликовано: 06 дек. 2022

Источник: fstec

CVSS3: 8.3

CVSS2: 7.6

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения контроллера удаленного управления серверами AMI MegaRAC Baseboard Management Controller (BMC) связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к устройству через SSH

Вендор

AMI

HP Inc.

Lenovo Group Limited

Gigabyte Technology Co., Ltd.

Наименование ПО

AMI MegaRAC

HPE Cloudline CL2200 Gen10 Server

HPE Cloudline CL2100 Gen10 Server

Rack Server - RD350G (Hyperscale)

HG680X

SR635

SR655

Converged HX3710

Converged HX3710-F

Converged HX2710-E

HR610X

HR630X

HR650X

ThinkSystem HR650M-V2

N3310 Storage

N4610 Storage

RD350

RD450

RD550

RD650

RS160

RS260

SD350

TD350

TS460

TS560

ASPEED AST2500

ASPEED AST2600

Версия ПО

- (AMI MegaRAC)

до 12.77.04 включительно (HPE Cloudline CL2200 Gen10 Server)

до 12.77.04 включительно (HPE Cloudline CL2100 Gen10 Server)

до 9.22.53751 (Rack Server - RD350G (Hyperscale))

- (HG680X)

до 5.84 (SR635)

до 5.84 (SR655)

- (Converged HX3710)

- (Converged HX3710-F)

- (Converged HX2710-E)

- (HR610X)

- (HR630X)

- (HR650X)

- (ThinkSystem HR650M-V2)

- (N3310 Storage)

- (N4610 Storage)

- (RD350)

- (RD450)

- (RD550)

- (RD650)

- (RS160)

- (RS260)

- (SD350)

- (TD350)

- (TS460)

- (TS560)

до 12.60.39 (ASPEED AST2500)

до 13.04.12 (ASPEED AST2600)

Тип ПО

Микропрограммный код

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- сегментирование сети с целью ограничения доступа к серверному оборудованию;

- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;

- применение систем обнаружения вторжений

- отключение встроенных учетных записей.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-40242
CVE

EPSS

Процентиль: 34%

0.00137

Низкий

8.3 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

CVE-2022-40242

CVSS3: 7.5

nvd

около 3 лет назад

MegaRAC Default Credentials Vulnerability

GHSA-pfmv-8p32-m4v6

CVSS3: 9.8

github