Один файл — и сгорел весь сервер: что случилось с American Megatrends
Прошивка от ASUS теперь важнее, чем антивирус.
ASUS выпустила обновления безопасности для устранения критической уязвимости CVE-2024-54085 (оценка CVSS: 10.0), которая может привести к полному выходу серверов из строя. Проблема затрагивает ПО MegaRAC BMC, разработанное компанией American Megatrends International. Данный компонент отвечает за удалённое управление серверами и используется в оборудовании более 10 вендоров, включая HPE, ASRock и саму ASUS.
Оценка уязвимости объясняется тем, что она может быть использована удалённо — как через сетевой интерфейс управления Redfish, так и с самой машины, где установлен BMC. Эксплойт позволяет атакующему получить полный контроль над сервером, установить вредоносное ПО, внести изменения в прошивку, нарушить работу материнской платы или даже физически повредить оборудование, например, путём подачи повышенного напряжения.
Особую опасность представляет возможность бесконечной перезагрузки сервера, которую невозможно остановить стандартными средствами. Такой сценарий превращает сервер в бесполезное оборудование, требующее физического вмешательства для восстановления или замены.
American Megatrends выпустила исправления ещё 11 марта 2025 года, однако производителям оборудования потребовалось дополнительное время для адаптации исправлений под свои решения. ASUS завершила работу над обновлениями и объявила о выпуске новых версий прошивок BMC для четырёх моделей материнских плат, подверженных уязвимости:
– PRO WS W790E-SAGE SE — версия 1.1.57;
– PRO WS W680M-ACE SE — версия 1.1.21;
– PRO WS WRX90E-SAGE SE — версия 2.1.28;
– Pro WS WRX80E-SAGE SE WIFI — версия 1.34.0.
Обновлённые прошивки уже доступны для загрузки. ASUS подчёркивает, что из-за удалённого характера уязвимости критически важно как можно скорее установить актуальные версии. Файл обновления (.ima) можно применить через веб-интерфейс BMC в разделе Maintenance — Firmware Update. Рекомендуется также активировать опцию Full Flash, чтобы полностью перезаписать прошивку и исключить возможные последствия взлома.
Для тех, кто не знаком с процедурой обновления или сталкивается с проблемами при установке, ASUS подготовила подробную инструкцию , которая включает рекомендации по безопасному выполнению процедуры, а также советы по устранению возможных ошибок.