Хиляди сървъри могат да бъдат хакнати – открита е критична уязвимост в популярен микроконтролер
Открита е накърнимост, която може да даде на нападателите цялостен надзор над хиляди сървъри, доста от които извършват сериозни задания. Уязвимостта CVE-2024-54085 е открита в известния контролер AMI MegaRAC, който разрешава далечен достъп до огромни паркове от сървърни машини. На уязвимостта е присъдена оценка на опасността от 10 от 10.
AMI MegaRAC е микроконтролер, основан на архитектурата BMC (baseboard management controller). Администраторите употребяват BMC за отдалечено преинсталиране на операционни системи, инсталиране или настройване на приложения и осъществяване на промени в конфигурацията. Успешното компрометиране на един BMC може да се употребява за прекосяване към вътрешни мрежи и компрометиране на всички останали BMC.
Уязвимостта CVE-2024-54085 разрешава на атакуващия да заобиколи удостоверяването, като направи елементарна уеб поръчка към уязвимо BMC устройство по HTTP. Уязвимостта е открита през март от компанията за компютърна сигурност Eclypsium. Разкриването на уязвимостта включваше код за експлойт, който разрешава на хакера да сътвори отдалечено администраторски акаунт без засвидетелствуване. Към момента на разкриването на уязвимостта не е имало известия за дейна употребата ѝ.
Изследователите от Eclypsium предоставиха лист на главните закани:
Въвеждане на злотворен код непосредствено във фърмуера на BMC; Заобикаляне на отбраната на крайни точки, регистрирането и множеството обичайни принадлежности за сигурност; Възможност за отдалечено включване, изключване, рестартиране и преинсталиране на облика на сървъра, без значение от положението на главната операционна система; Откраднати идентификационни данни, в това число тези, употребявани за отдалечено управление; Достъп до паметта на системата и мрежовите интерфейси за прихващане на чувствителни данни; Увреждане на фърмуера, което води до срив на сървъра.Според Eclypsium линията уязвими устройства AMI MegaRAC употребява интерфейс, прочут като Redfish. Сред застрашените снабдители на сървъри са AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro и Qualcomm. Някои от тези производители към този момент са пуснали кръпки за своите устройства.
Като се имат поради евентуалните вреди от нападатели, употребяващи уязвимостта CVE-2024-54085, админите би трябвало да тестват всички BMC в своите паркове и в случай че се съмняват, да се съветват с доставчика на хардуера.
