CVE-2023-34344
A vulnerability in the IPMI handler, where an unauthorized attacker can use certain oracles to guess a valid username
Em resumo
Um atacante pode usar dicas de tempo ou mensagens de erro do sistema IPMI para descobrir quais nomes de usuário existem, aprendendo nomes de conta válidos sem autorização. Essa informação ajuda na preparação de ataques posteriores.
Detalhe técnico
O manipulador IPMI no AMI BMC contém uma vulnerabilidade de divulgação de informações (CWE-203) que permite a atacantes não autenticados enumerar nomes de usuário válidos através de ataques de canal lateral baseados em oráculos, como diferenças de tempo ou mensagens de erro distintas. A exploração requer acesso de rede aos serviços IPMI e revela nomes de conta válidos que facilitam tentativas subsequentes de acesso não autorizado.
Resumo gerado e traduzido por IA a partir da descrição oficial.
AMI BMC contains a vulnerability in the IPMI
handler, where an unauthorized attacker can use certain oracles to guess a
valid username, which may lead to information disclosure.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Produtos afetados
AMI · MegaRAC_SPxQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →