-
09/04/2020
-
94
-
723 bài viết
Lỗ hổng trong AMI BMC cho phép kiểm soát và phá hủy máy chủ từ xa
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong phần mềm AMI's MegaRAC Baseboard Management Controller (BMC) MegaRAC của AMI, có thể cho phép kẻ tấn công bỏ qua xác thực và thực hiện các hành động khai thác sau đó.
Lỗ hổng bảo mật có tên tên gọi CVE-2024-54085 có điểm CVSS v4 là 10.0, cho thấy mức độ nghiêm trọng tối đa.
Kẻ tấn công cục bộ hoặc từ xa có thể khai thác lỗ hổng này bằng cách truy cập vào các giao diện quản lý từ xa hoặc kết nối từ máy chủ nội bộ đến giao diện BMC.
Lỗ hổng CVE-2024-54085 là mới nhất trong một chuỗi các lỗ hổng bảo mật đã được phát hiện trong hệ thống BMC của AMI MegaRAC kể từ tháng 12/2022. Các lỗ hổng này đã được theo dõi chung dưới tên BMC&C, bao gồm:
Việc khai thác lỗ hổng này cho phép kẻ tấn công:
Mặc dù chưa có bằng chứng về việc lỗ hổng này bị khai thác trong thực tế, việc cập nhật hệ thống ngay khi các nhà sản xuất OEM tích hợp bản vá và phát hành cho khách hàng là vô cùng quan trọng.
HPE và Lenovo đã phát hành các bản cập nhật bảo mật cho các sản phẩm của họ, trong đó tích hợp bản sửa lỗi của AMI dành cho CVE-2024-54085.
Các chuyên gia an ninh mạng khuyến cáo các chủ doanh nghiệp, quản trị viên hệ thống (IT admin), và các tổ chức sử dụng máy chủ có tích hợp BMC:
Lỗ hổng bảo mật có tên tên gọi CVE-2024-54085 có điểm CVSS v4 là 10.0, cho thấy mức độ nghiêm trọng tối đa.
Kẻ tấn công cục bộ hoặc từ xa có thể khai thác lỗ hổng này bằng cách truy cập vào các giao diện quản lý từ xa hoặc kết nối từ máy chủ nội bộ đến giao diện BMC.
Lỗ hổng CVE-2024-54085 là mới nhất trong một chuỗi các lỗ hổng bảo mật đã được phát hiện trong hệ thống BMC của AMI MegaRAC kể từ tháng 12/2022. Các lỗ hổng này đã được theo dõi chung dưới tên BMC&C, bao gồm:
- CVE-2022-40259 – Thực thi mã tùy ý qua API Redfish
- CVE-2022-40242 – Tài khoản mặc định có quyền truy cập shell UID = 0 qua SSH
- CVE-2022-2827 – Liệt kê tài khoản người dùng qua API
- CVE-2022-26872 – Chặn quá trình đặt lại mật khẩu qua API
- CVE-2022-40258 – Mật khẩu yếu được băm cho Redfish & API
- CVE-2023-34329 – Bỏ qua xác thực qua giả mạo HTTP Header
- CVE-2023-34330 – Tiêm mã độc thông qua giao diện mở rộng Redfish động
Việc khai thác lỗ hổng này cho phép kẻ tấn công:
- Kiểm soát máy chủ bị xâm nhập từ xa
- Triển khai phần mềm độc hại, mã độc tống tiền (ransomware)
- Can thiệp và làm sai lệch firmware
- Làm hỏng các thành phần trên bo mạch chủ (BMC hoặc có thể cả BIOS/UEFI)
- Gây hư hại vật lý cho máy chủ (làm quá tải nóng máy gây ra hư hỏng phần cứng)
- Tạo vòng lặp khởi động vô hạn cho tiết bị
- HPE Cray XD670
- Asus RS720A-E11-RS24U
- ASRockRack
Mặc dù chưa có bằng chứng về việc lỗ hổng này bị khai thác trong thực tế, việc cập nhật hệ thống ngay khi các nhà sản xuất OEM tích hợp bản vá và phát hành cho khách hàng là vô cùng quan trọng.
HPE và Lenovo đã phát hành các bản cập nhật bảo mật cho các sản phẩm của họ, trong đó tích hợp bản sửa lỗi của AMI dành cho CVE-2024-54085.
Các chuyên gia an ninh mạng khuyến cáo các chủ doanh nghiệp, quản trị viên hệ thống (IT admin), và các tổ chức sử dụng máy chủ có tích hợp BMC:
- Đảm bảo các giao diện quản lý máy chủ từ xa (Redfish, IPMI) và hệ thống BMC không thể truy cập từ bên ngoài internet hoặc các thiết bị không được phép.
- Giới hạn quyền truy cập nội bộ chỉ cho người quản trị bằng danh sách kiểm soát truy cập (ACLs) hoặc tường lửa để ngăn chặn truy cập trái phép.
- Cập nhật bản vá ngay lập tức để bảo vệ hệ thống khỏi lỗ hổng nguy hiểm này và tránh các thiệt hại về dữ liệu, tài chính và uy tín.
Theo The Hacker News