American Megatrends（AMI）MegaRAC基带管理控制器（BMC）软件近日曝出了三个漏洞，许多云服务和数据中心提供商使用的服务器设备因而受到影响。

BMC是服务器中的独立计算机，它们有自己的独立电源、固件、内存和网络系统，旨在让管理员可以近乎全面远程控制他们管理的服务器。

MegaRAC则被认为是全球领先的BMC远程管理固件提供商之一，充当“成千上万服务器中的现代计算环境中的基础性组件”，这些服务器广泛用于全球各地的数据中心、服务器集群和云基础架构。

这些漏洞是由安全公司Eclypsium在2022年8月发现的，可以使攻击者在某些条件下执行代码、绕过身份验证和执行用户枚举。研究人员在检查American Megatrends被泄露的专有代码后发现了这些漏洞，专有代码具体是指MegaRAC BMC固件。MegaRAC BMC是一套全面的“带外”“无人值守”远程系统管理解决方案，允许管理员远程排除服务器故障，就像站在设备跟前一样。

MegaRAC BMC固件被至少15家服务器厂商所使用，包括AMD、Ampere Computing、ASRock、华硕、ARM、戴尔EMC、技嘉、HPE、华为、浪潮、联想、英伟达、高通、广达和泰安（Tyan）。