サーバの管理機能であるBMCにCVSSv3.1スコア9.9の脆弱性 広範囲に影響が及ぶ見込み

Eclypsiumはサーバで使われる管理用機能であるベースボード管理コントローラーに複数の脆弱性を発見した。脆弱性の中にはCVSSv3.1スコアは9.9に該当するものも含まれているため注意してほしい。

[後藤大地，有限会社オングス]

　セキュリティ企業のEclypsiumは2022年12月5日（現地時間）、同社のブログでAmerican Megatrends（AMI）のベースボード管理コントローラー（BMC）「MegaRAC Baseboard Management Controller」に3つの脆弱（ぜいじゃく）性が存在すると伝えた。

　これらの脆弱性を悪用されると、遠隔から任意のコードを実行される危険性があり注意が必要だ。多くのベンダーのサーバが影響を受けるとされており、迅速に対処する必要がある。

Eclypsiumは「MegaRAC Baseboard Management Controller」の脆弱性について報告した（出典：EclypsiumのWebサイト）

CVSSv3.1スコアは9.9　推奨される緩和策は

　Eclypsiumはこれらの脆弱性をまとめて「BMC&C」と呼んでいる。AMIのベースボード管理コントローラーは多くの大手サーバメーカーが採用しており、EclypsiumはBMC&Cの影響を受けるサーバベンダーとして以下の名前を挙げている。

• AMD
• Ampere Computing
• ARM
• ASRock
• Asus
• Dell EMC
• Gigabyte
• Hewlett-Packard Enterprise
• Huawei
• Inspur
• Lenovo
• NVidia
• Qualcomm
• Quanta
• Tyan

　また、今回見つかった脆弱性の詳細は以下の通りだ。

• CVE-2022-40259：Redfish APIにおける任意コード実行の脆弱性。CVSSv3.1のスコアは9.9で深刻度「緊急」（Critical）に分類されている
• CVE-2022-40242：ユーザーIDが0のシェルのデフォルト認証情報をSSH経由で取得できる脆弱性。CVSSv3.1のスコアは8.3で深刻度「重要」（High）に分類されている
• CVE-2022-2827：API経由でユーザーの一覧を取得できる脆弱性。CVSSv3.1のスコアは7.5で深刻度「重要」（High）に分類されている

　EclypsiumはBMC&Cに対する緩和策として以下を挙げている。

• Redfish APIやIPMIといったリモートサーバ管理インタフェースとベースボード管理コントローラーサブシステムを管理されたネットワーク内のみに配置し、インターネットからアクセスできないことを確認するとともに、管理者ユーザーだけがアクセスできるネットワーク設定になっていることを確認する
• 最初から設定されている管理者アカウントは無効化するか、リモート認証を使用する
• 重要なサーバでソフトウェアとファームウェアを定期的に更新する
• サーバのファームウェアにおける侵害や不正な変更の兆候がないかどうか定期的に監視する

　ベースボード管理コントローラーはサーバ内にある制御用のICチップだ。サーバの電源がオフの状態でも機能し、サーバを制御する。サーバやOSが提供するセキュリティ機能を超えた動作が可能であることから、サイバー攻撃者が好んで悪用する可能性が高いと考えられている。

　こうしたファームウェアはアップデート作業が大変であり、古いバージョンがそのまま使われている場合もあるため注意が必要だ。データセンターなどでは同一のベースボード管理コントローラーを大量に導入するケースが多いことから、EclypsiumはBMC&Cがもたらすリスクが高い可能性があるとし注意を呼び掛けている。