Nieuwe BMC Supply Chain kwetsbaarheden treffen servers van tientallen fabrikanten

De nieuwe problemen, die BMC&C worden genoemd, kunnen worden misbruikt door aanvallers die toegang hebben tot externe beheerinterfaces (IPMI) zoals Redfish, waardoor tegenstanders de controle over de systemen kunnen krijgen en cloudinfrastructuren in gevaar kunnen brengen. De bevindingen onderstrepen eens te meer het belang van de beveiliging van de toeleveringsketen van firmware en de garantie dat BMC-systemen niet rechtstreeks aan het internet worden blootgesteld. De ernstigste van de problemen is CVE-2022-40259 (CVSS-score: 9,9), een geval van willekeurige code-uitvoering via de Redfish API waarvoor de aanvaller al een minimaal toegangsniveau op het apparaat moet hebben (Callback-privileges of hoger).