10 из 10: CVE-2024-54085 испепеляет дата-центры удалённой командой

В программном обеспечении MegaRAC Baseboard Management Controller (BMC), разработанном American Megatrends International (AMI), обнаружена критическая уязвимость , позволяющая злоумышленникам захватывать контроль над серверами и потенциально выводить их из строя.

Платформа MegaRAC BMC обеспечивает удалённое управление серверами, позволяя администраторам работать с оборудованием даже без физического доступа. Эта технология используется в продуктах более десяти производителей серверов, включая HPE, Asus, ASRock и другие компании, поставляющие решения для облачных сервисов и дата-центров.

Ошибка безопасности, получившая максимальный уровень опасности (10 из 10) и обозначенную как CVE-2024-54085 , может эксплуатироваться удалёнными атакующими без необходимости авторизации или сложных манипуляций. Как пояснили исследователи безопасности Eclypsium, уязвимость связана с механизмом удалённого управления Redfish, а также внутренним интерфейсом взаимодействия с BMC.

Эксплуатация уязвимости даёт злоумышленникам полный контроль над сервером: можно загружать вредоносное ПО, модифицировать прошивку, запускать бесконечные циклы перезагрузки, а в отдельных случаях даже повредить компоненты материнской платы (BMC, BIOS/UEFI) или вывести сервер из строя с помощью избыточного напряжения.

Специалисты Eclypsium выявили проблему, анализируя исправления, выпущенные AMI для CVE-2023-34329 , другой ошибки аутентификации, обнаруженной в июле 2023 года. Среди подтверждённо уязвимых устройств — HPE Cray XD670, Asus RS720A-E11-RS24U и ASRockRack, но вероятно, что проблема затрагивает гораздо больше серверов и производителей.

По данным сервиса Shodan, более 1000 уязвимых серверов подключены к интернету и потенциально подвержены атакам. Причём CVE-2024-54085 — не единственная проблема в MegaRAC BMC. С 2022 года Eclypsium сообщала о нескольких других серьёзных уязвимостях, среди которых CVE-2022-40259 , CVE-2022-40242 , CVE-2022-2827 , CVE-2022-26872 и CVE-2022-40258 . Эти ошибки позволяют захватывать контроль над BMC, модифицировать прошивки и распространять вредоносное ПО.

В июле 2023 года исследователи обнаружили ещё одну опасную уязвимость CVE-2023-34330 , связанную с возможностью инъекции кода через интерфейс Redfish. Более того, CVE-2022-40258 , связанная со слабыми хешами паролей, делает взлом администраторских учётных записей BMC тривиальной задачей.

Хотя на данный момент не зафиксировано реальных атак с использованием CVE-2024-54085 , эксперты предупреждают, что разработка эксплойта не представляет особой сложности, так как бинарные файлы прошивки не зашифрованы.

Специалисты по безопасности настоятельно рекомендуют немедленно установить обновления, выпущенные 11 марта AMI, Lenovo и HPE, отключить интернет-доступ к MegaRAC BMC и внимательно следить за логами серверов на предмет подозрительной активности.

По словам Eclypsium, уязвимость затрагивает только BMC-стек AMI, но учитывая его популярность среди производителей оборудования, влияние бреши распространяется на десятки серверных решений. Поскольку обновление требует временного отключения серверов, процесс патчинга может оказаться непростым, но откладывать его крайне опасно.