Обнаружена критическая уязвимость в программном обеспечении MegaRAC Baseboard Management Controller (BMC) компании AMI, позволяющая злоумышленникам обходить аутентификацию и получать полный контроль над серверами. Уязвимость носит обозначение CVE-2024-54085 и имеет максимальный показатель тяжести по шкале CVSS v4 – 10.0.
Атакующим доступны несколько способов эксплуатации: доступ через удалённые интерфейсы управления, такие как Redfish, либо посредством перехода от внутреннего хоста к интерфейсу BMC, также с использованием Redfish. В результате успешной атаки злоумышленник получает возможность развернуть произвольный код на сервере.
После обхода мер аутентификации могут быть осуществлены разнообразные действия: удалённое управление заражёнными серверами, внедрение вредоносных программ, изменение встроенной прошивки, а также полное выведение из строя компонентов материнской платы, включая BMC и, потенциально, BIOS/UEFI.
Злоумышленник способен инициировать атаку, приводящую к бесконечному циклу перезагрузок устройства, что исключает возможность оперативного вмешательства и восстановление работоспособности сервера до проведения полного переоснащения.
Уязвимость CVE-2024-54085 является продолжением выявленных недостатков в программном обеспечении AMI MegaRAC BMC, появившихся с декабря 2022 года. Ранее были зарегистрированы инциденты, помеченные как CVE-2022-40259 (произвольное выполнение кода через Redfish API), CVE-2022-40242 (использование учётных данных по умолчанию для оболочки с UID = 0 через SSH), CVE-2022-2827 (перечисление пользователей через API), CVE-2022-26872 (перехват сброса пароля через API), CVE-2022-40258 (слабые хеши паролей для Redfish и API), а также CVE-2023-34329 и CVE-2023-34330, позволяющие выполнить обход аутентификации и внедрение кода.
Эксплуатация уязвимости позволяет не только осуществлять удалённое управление, но и запускать атаки, способные повлечь физические повреждения оборудования посредством перепадов напряжения и нарушения нормальной работы системы. Атакующие могут организовать непрерывные перезагрузки, что приводит к длительному простою системы до её полной переустановки.
Подвержены данной уязвимости устройства включают сервер HPE Cray XD670, решения Asus RS720A-E11-RS24U, а также продукты ASRockRack. Поскольку программное обеспечение AMI BMC занимают ключевую позицию в цепочке поставок BIOS, затронутые риском оказываются многочисленные производители, насчитывающие свыше десятка известных брендов.
Необходимость срочного обновления подтверждена выпуском патчей от AMI от 11 марта 2025 года, хотя на данный момент нет доказательств эксплуатации уязвимости в дикой среде. Пользователям рекомендуется обновить системы после интеграции исправлений выпускающими оригинальных производителями, учитывая, что процесс патчинга требует периодического отключения оборудования. Информация о деталях уязвимости и методах её эксплуатации была предоставлена компанией Eclypsium и опубликована в издании The Hacker News.
Изображение носит иллюстративный характер
Атакующим доступны несколько способов эксплуатации: доступ через удалённые интерфейсы управления, такие как Redfish, либо посредством перехода от внутреннего хоста к интерфейсу BMC, также с использованием Redfish. В результате успешной атаки злоумышленник получает возможность развернуть произвольный код на сервере.
После обхода мер аутентификации могут быть осуществлены разнообразные действия: удалённое управление заражёнными серверами, внедрение вредоносных программ, изменение встроенной прошивки, а также полное выведение из строя компонентов материнской платы, включая BMC и, потенциально, BIOS/UEFI.
Злоумышленник способен инициировать атаку, приводящую к бесконечному циклу перезагрузок устройства, что исключает возможность оперативного вмешательства и восстановление работоспособности сервера до проведения полного переоснащения.
Уязвимость CVE-2024-54085 является продолжением выявленных недостатков в программном обеспечении AMI MegaRAC BMC, появившихся с декабря 2022 года. Ранее были зарегистрированы инциденты, помеченные как CVE-2022-40259 (произвольное выполнение кода через Redfish API), CVE-2022-40242 (использование учётных данных по умолчанию для оболочки с UID = 0 через SSH), CVE-2022-2827 (перечисление пользователей через API), CVE-2022-26872 (перехват сброса пароля через API), CVE-2022-40258 (слабые хеши паролей для Redfish и API), а также CVE-2023-34329 и CVE-2023-34330, позволяющие выполнить обход аутентификации и внедрение кода.
Эксплуатация уязвимости позволяет не только осуществлять удалённое управление, но и запускать атаки, способные повлечь физические повреждения оборудования посредством перепадов напряжения и нарушения нормальной работы системы. Атакующие могут организовать непрерывные перезагрузки, что приводит к длительному простою системы до её полной переустановки.
Подвержены данной уязвимости устройства включают сервер HPE Cray XD670, решения Asus RS720A-E11-RS24U, а также продукты ASRockRack. Поскольку программное обеспечение AMI BMC занимают ключевую позицию в цепочке поставок BIOS, затронутые риском оказываются многочисленные производители, насчитывающие свыше десятка известных брендов.
Необходимость срочного обновления подтверждена выпуском патчей от AMI от 11 марта 2025 года, хотя на данный момент нет доказательств эксплуатации уязвимости в дикой среде. Пользователям рекомендуется обновить системы после интеграции исправлений выпускающими оригинальных производителями, учитывая, что процесс патчинга требует периодического отключения оборудования. Информация о деталях уязвимости и методах её эксплуатации была предоставлена компанией Eclypsium и опубликована в издании The Hacker News.
