数据观澜IT资讯
快捷导航
您的位置:首页>系统运维>>高危 AMI MegaRAC 漏洞影响 AMD、ARM、HPE、Dell 等众多服务器 >

高危 AMI MegaRAC 漏洞影响 AMD、ARM、HPE、Dell 等众多服务器

  发布时间:2025-12-07 20:36:59   作者:玩站小弟   我要评论
Bleeping Computer 网站披露,Eclypsium 的研究人员发现美国 MegatrendsMegaRAC 基板管理控制器BMC)软件中存在三个漏洞,这些漏洞影响许多云服务和数据中心运营 。

Bleeping Computer 网站披露  ,高危Eclypsium 的漏洞研究人员发现美国 Megatrends  MegaRAC 基板管理控制器(BMC)软件中存在三个漏洞,这些漏洞影响许多云服务和数据中心运营商使用的影响服务器设备。

据悉,众多研究人员在检查泄露的服务美国 Megatrends专有代码 ,以及 MegaRAC BMC 固件后发现了这些漏洞 ,高危某些条件下  ,漏洞攻击者一旦成功利用漏洞 ,影响便可以执行任意代码  、众多并绕过身份验证,高防服务器服务执行用户枚举 。高危

MegaRAC BMC 作为一个远程系统管理解决方案 ,漏洞允许管理员像站在设备前面一样远程排除服务器故障 。影响目前,众多 MegaRAC BMC 固件至少有 15 家服务器制造商使用 ,服务其中主要包括 AMD 、Ampere Computing 、ASRock、华硕、ARM、Dell EMC 、Gigabyte 、免费模板Hewlett-Packard Enterprise、华为、浪潮 、联想 、英伟达、高通、Quanta 和 Tyan 等 。

漏洞详细信息 :

Eclypsium 发现并向美国 Megatrends 和受影响供应商报告的三个漏洞如下:

CVE-2022-40259(CVSS v3.1评分  :9.9“严重”)Redfish API 存在任意代码执行缺陷。CVE-2022-40242(CVSS v3.1评分:8.3“高”):sysadmin 用户的默认凭据  ,允许攻击者建立管理 shell 。源码库CVE-2022-2827(CVSS v3.1评分 :7.5“高”) ,请求操作漏洞 ,允许攻击者枚举用户名并确定帐户是否存在 。

这三个漏洞中最严重的一个漏洞是 CVE-2022-40259,尽管它需要事先访问至少一个低特权帐户才能执行 API回调。

漏洞产生的影响

CVE-2022-40259 和 CVE-2022-40242 这两个漏洞非常严重 ,因为攻击者可以利用它们无需进一步升级 ,即可访问管理外壳。建站模板一旦攻击者成功利用了这些漏洞,可能会引起数据操纵、数据泄露、服务中断、业务中断等 。

Eclypsium 在报告中强调 ,由于数据中心倾向于在特定硬件平台上实现标准化,任何 BMC 级别的漏洞都很可能适用于大量设备 ,并可能影响整个数据中心及其提供的服务。

更糟糕的模板下载是,服务器组件上托管和云提供商的标准化意味着这些漏洞可以轻易影响数十万 ,甚至数百万系统 。因此,建议系统管理员立刻禁用远程管理选项,并在可能的情况下添加远程身份验证步骤  。

此外,管理员应尽量减少 Redfish 等服务器管理界面的外部暴露  ,亿华云并确保所有系统上都安装了最新的可用固件更新 。

参考文章:https://www.bleepingcomputer.com/news/security/severe-ami-megarac-flaws-impact-servers-from-amd-arm-hpe-dell-others/

  • Tag:

相关文章

  • 700万推特用户数据公开传播,或有更大规模用户数据泄露

    通过API漏洞窃取的超700万推特用户数据在互联网传播。事件分析2022年7月,有攻击者在黑客论坛以3万美元的价格出售超过540万的推特用户信息。经过调查,这些信息是利用2021年12月的一个推特AP
    2025-12-07

  • 笔记本亮度调节的快捷键

    现在小伙伴们使用电脑的时间越来越多,长时间使用电脑,对我们的眼睛伤害很大。建议大家使用一两个小时的电脑就要停下来休息10分钟,眺望远方。除此之外,电脑屏幕亮度的控制也是很有必要的。但是笔记本亮度调节的
    2025-12-07

  • win10待机时间长就死机怎么办

    很多用户们表示在使用win10系统的时候,遇到了一个问题那就是win10系统待机时间一长就会出现死机的情况,这个问题到底怎么解决呢,快来看看详细的解决方法吧~win10待机时间长就死机怎么办:方法一:
    2025-12-07

  • win7停止更新怎么免费升级win10

    自2020年1月14日开始,微软宣布正式停止对win7系统的支持,那么以后将不会对win7系统进行安全修复和更新。而继续使用win7系统将会极大的增加病毒和恶意软件攻击的风险,既然win7不受支持,那
    2025-12-07

  • Nacos 中的配置文件如何实现加密传输

    小伙伴们知道,Spring Cloud Config 很早就提供了配置文件的加解密功能,并且支持对称加密和非对称加密两种不同的模式。Nacos 作为分布式配置中心+服务注册中心的合体,在配置文件加密这
    2025-12-07

  • Windows 10X文件资源管理器有什么新功能

    对于微软公司最新推出的windows10X系统,相信很多小伙伴都一直在关注着它的更新优化情况。那么对于此次Windows 10X文件资源管理器的更新有什么新功能,据小编得到的最新消息,主要是针对于外观
    2025-12-07

最新评论