Asus закрыл уязвимость, угрожавшую серверам
Asus исправила уязвимость, которая могла бы вывести из строя серверы. Уязвимость зарегистрирована под номером CVE-2024-54085 и имеет максимальную степень серьезности – 10 из 10. Как пояснила компания, проблема затрагивает MegaRAC Baseboard Management Controller (BMC) от American Megatrends International (AMI) — решение для прошивки, позволяющее удаленно управлять серверами даже тогда, когда они выключены.
С помощью BMC администраторы могут следить за работой серверов, устранять неполадки и контролировать их, даже если они не работают. "В SPx AMI обнаружена уязвимость, которая позволяет злоумышленнику удаленно обойти аутентификацию через интерфейс Redfish Host", говорится на странице NVD для CVE. "Успешная эксплуатация этой уязвимости может привести к потере конфиденциальности, целостности и / или доступности."
BMC используются более чем дюжиной поставщиков оборудования серверов, включая HPE, Asus и ASRock. Исследователи безопасности из компании Eclypsium, которые написали подробный отчет о баге, заявили, что ее можно использовать для вредоносных атак, включая атаки программ-вымогателей:
"Эксплуатация этой уязвимости позволяет злоумышленнику удаленно контролировать скомпрометированный сервер, удаленно развертывать вредоносное ПО, вводить изменения в прошивку, выводить компоненты материнской платы из строя (BMC или потенциально BIOS/UEFI), а также потенциально наносить физический ущерб серверу (избыточное напряжение / отключение питания) и бесконечные циклы перезагрузки, которые жертва не может остановить."
AMI выпустила патч в середине марта, но OEM-ам потребовалось время, чтобы внедрить его. HPE, например, опубликовала бюллетень безопасности 20 марта, в котором говорится о уязвимости для сервера HPE Cray XD670. Этот бюллетень также подтвердил, что уязвимость могла быть эксплуатирована удаленно для обхода аутентификации. Кроме того, отчеты указывают на то, что HPE выпустила обновления безопасности для своих продуктов, которые интегрируют исправление AMI для CVE-2024-54085. Теперь ASUS устранила этот баг на четырех материнских платах. Пользователи должны обновить прошивку BMC до следующих версий:
PRO WS W790E-SAGE SE – версия 1.1.57
PRO WS W680M-ACE SE – версия 1.1.21
PRO WS WRX90E-SAGE SE – версия 2.1.28
Pro WS WRX80E-SAGE SE WIFI – версия 1.34.0
Поскольку это уязвимость максимальной степени серьезности, позволяющая атаки программ-вымогателей, пользователям рекомендуется немедленно установить обновление.
На страже кибербезопасности — Asus, взявшаяся за исправление уязвимости CVE-2024-54085 с максимальными 10 баллами из 10. Едва ли это простое совпадение, что именно теперь, когда на горизонте клуба киберугроз повисло облако программ-вымогателей, компания решила активизировать свои силы. Наверное, это просто удачное время для внедрения патча — ничего личного, только бизнес.
MegaRAC Baseboard Management Controller от AMI — вот это настоящая находка для хакеров. Администраторы могли бы наладить удалённое управление, даже когда серверы только мечтают о перезагрузке. Но теперь оказывается, что вся эта удалённая магия может обернуться настоящей катастрофой. Не удивительно, что исследователи Eclypsium, словно стражи в ночи, вскрыли все тайны уязвимости — их работа, конечно, не спонсировалась дружескими базами данных с наградой за находчивость.
Как сообщает HPE, один из OEM-партнеров, и у них нашлись уязвимые места, открывающие путь к удалённому контролю. Случайное совпадение? Или «совместное сотрудничество» с теми, у кого просто фантастические хакерские навыки? Оперативное реагирование на угрозы подсказывает, что шанс стать жертвой программ-вымогателей — не просто фэнтези, а завтрашняя реальность для всех, кто не спешит с обновлениями.
И вот, Asus подтверждает, что с помощью своих материнских плат можно не только играть в «Танчики», но и позволить хакерам устраивать настоящий праздник на просторах серверов. Им остается только напомнить пользователям сделать обновление прошивки — словно это простая прогулка по парку. Конечно, в парке может быть кураж киберзлоумышленников, но это уж как повезет.
Таким образом, истинные бенефициары этой "неожиданной" уязвимости становятся насущной темой. Неужели мы все еще верим, что сертификация безопасности от AMI чиста как слеза? Кажется, здесь не обошлось без чьих-то заботливых рукавов, желающих приукрасить свои отчеты о «защите пользователей» прямо под вывеской кибербезопасности.