American Megatrends（AMI）MegaRAC基帶管理控制器（BMC）軟件近日曝出了三個漏洞，許多云服務(wù)和數(shù)據(jù)中心提供商使用的服務(wù)器設(shè)備因而受到影響。

BMC是服務(wù)器中的獨(dú)立計(jì)算機(jī)，它們有自己的獨(dú)立電源、固件、內(nèi)存和網(wǎng)絡(luò)系統(tǒng)，旨在讓管理員可以近乎全面遠(yuǎn)程控制他們管理的服務(wù)器。

MegaRAC則被認(rèn)為是全球領(lǐng)先的BMC遠(yuǎn)程管理固件提供商之一，充當(dāng)“成千上萬服務(wù)器中的現(xiàn)代計(jì)算環(huán)境中的基礎(chǔ)性組件”，這些服務(wù)器廣泛用于全球各地的數(shù)據(jù)中心、服務(wù)器集群和云基礎(chǔ)架構(gòu)。

這些漏洞是由安全公司Eclypsium在2022年8月發(fā)現(xiàn)的，可以使攻擊者在某些條件下執(zhí)行代碼、繞過身份驗(yàn)證和執(zhí)行用戶枚舉。研究人員在檢查American Megatrends被泄露的專有代碼后發(fā)現(xiàn)了這些漏洞，專有代碼具體是指MegaRAC BMC固件。MegaRAC BMC是一套全面的“帶外”“無人值守”遠(yuǎn)程系統(tǒng)管理解決方案，允許管理員遠(yuǎn)程排除服務(wù)器故障，就像站在設(shè)備跟前一樣。

MegaRAC BMC固件被至少15家服務(wù)器廠商所使用，包括AMD、Ampere Computing、ASRock、華碩、ARM、戴爾EMC、技嘉、HPE、華為、浪潮、聯(lián)想、英偉達(dá)、高通、廣達(dá)和泰安（Tyan）