Kerentanan keparahan kritis baru yang ditemukan dalam perangkat lunak MeGatrends Megatrends Megatrends International International Controller Management Controller (BMC) dapat membiarkan penyerang membajak dan berpotensi server rentan bata.
Megarac BMC menyediakan kemampuan manajemen sistem jarak jauh “light-out” dan “out-of-band” yang membantu admin pemecahan masalah server seolah-olah mereka secara fisik berada di depan perangkat. Firmware digunakan oleh lebih dari selusin vendor server yang menyediakan peralatan untuk banyak layanan cloud dan penyedia pusat data, termasuk HPE, Asus, Asrock, dan lainnya.
Penyerang Remote Unauthenticated dapat mengeksploitasi cacat keamanan keparahan maksimum ini (dilacak sebagai CVE-2024-54085) dalam serangan kompleksitas rendah yang tidak memerlukan interaksi pengguna.
“Penyerang lokal atau jarak jauh dapat mengeksploitasi kerentanan dengan mengakses antarmuka manajemen jarak jauh (redfish) atau host internal ke antarmuka BMC (RedFish),” Eclypsium menjelaskan Dalam laporan Selasa.
“Eksploitasi kerentanan ini memungkinkan penyerang untuk mengontrol server yang dikompromikan dari jarak jauh, menyebarkan malware, ransomware, perusakan firmware, komponen motherboard bata (BMC atau yang berpotensi bios / UEFI), kerusakan fisik server yang tidak dapat berhenti.
Peneliti Keamanan Eclypsium menemukan CVE-2024-54085 auth bypass saat menganalisis tambalan yang dikeluarkan oleh AMI untuk CVE-2023-34329, otentikasi lain mem-bypass perusahaan cybersecurity Company Cybersecurity diungkapkan pada Juli 2023.
Sementara Eclypsium mengkonfirmasi bahwa HPE Cray XD670, ASUS RS720A-E11-RS24U, dan Asrockrack rentan terhadap serangan CVE-2024-54085 jika dibiarkan tidak ditandingi, itu juga menambahkan bahwa “ada kemungkinan akan ada perangkat yang lebih terpengaruh dan/atau penjual.”
Menggunakan Shodan, para peneliti keamanan menemukan lebih dari 1.000 server online yang berpotensi terpapar serangan internet.
Sebagai bagian dari penelitian mereka tentang kerentanan Megarac (secara kolektif dilacak sebagai BMC & C), analis Eclypsium mengungkapkan lima kekurangan lagi Pada bulan Desember 2022 dan Januari 2023 (CVE-2022-40259, CVE-2022-40242, CVE-2022-2827, CVE-2022-26872, dan CVE-2022-40258) yang dapat dieksploitasi untuk membajak, Brick, atau kompromi rendah yang dikompromi.
Pada Juli 2023, mereka juga menemukan kerentanan injeksi kode (CVE-2023-34330) yang dapat digunakan dalam serangan untuk menyuntikkan kode berbahaya melalui Redfish Antarmuka manajemen jarak jauh yang terpapar akses jarak jauh dan mana yang dapat dirantai dengan bug yang ditemukan sebelumnya.
Secara khusus, CVE-2022-40258, yang melibatkan hash kata sandi yang lemah untuk Redfish & API, dapat membantu penyerang memecahkan kata sandi administrator untuk akun admin chip BMC, membuat serangan itu lebih mudah.
Sementara Eclypsium mengatakan cacat bypass auth CVE-2024-54085 belum digunakan dalam serangan, dan tidak ada eksploitasi yang ditemukan di alam liar, itu juga menambahkan bahwa menciptakan eksploitasi “tidak menantang” mengingat bahwa biner firmware tidak dienkripsi.
Pembela jaringan disarankan untuk menerapkan tambalan yang dirilis satu minggu yang lalu, pada 11 Maret, oleh Ami, LenovoDan HPE Segera mungkin, tidak mengekspos instance ami megarac online, dan untuk memantau log server untuk aktivitas yang mencurigakan.
“Sepengetahuan kami, kerentanan hanya mempengaruhi tumpukan perangkat lunak BMC AMI. Namun, karena AMI berada di puncak rantai pasokan BIOS, dampak hilir mempengaruhi lebih dari selusin produsen,” tambah Eclypsium saat ini.
“AMI telah merilis tambalan ke pelanggan produsen komputasi OEM. Vendor tersebut harus memasukkan perbaikan ke dalam pembaruan dan menerbitkan pemberitahuan kepada pelanggan mereka. Perhatikan bahwa menambal kerentanan ini adalah latihan non-sepele, yang membutuhkan downtime perangkat.”
