La vulnerabilidad, conocida como CVE-2024-54085, permite que atacantes remotos no autenticados la exploten sin requerir interacción del usuario. Según Eclypsium, una firma de ciberseguridad, un atacante local o remoto puede acceder a las interfaces de administración remota (Redfish) o al host interno del BMC. Cuando se explota, esta vulnerabilidad permite el control remoto del servidor afectado, permitiendo a los atacantes desplegar malware, ransomware, manipular firmware, y potencialmente dañar físicamente el servidor.
Eclypsium encontró esta vulnerabilidad durante el análisis de parches emitidos por AMI para CVE-2023-34329, otra vulnerabilidad que permitía el bypass de autenticación, descubierta en julio de 2023. La firma confirmó que el HPE Cray XD670, el ASUS RS720A-E11-RS24U y Asrockrack son vulnerables, y advirtió que podrían existir más dispositivos afectados. Usando Shodan, los investigadores identificaron más de 1,000 servidores potencialmente expuestos a estos ataques en Internet.
Los analistas de Eclypsium han revelado previamente cinco defectos adicionales relacionados con el firmware Megarac entre diciembre de 2022 y enero de 2023, que podrían ser utilizados para tomar control o bloquear servidores. También descubrieron una vulnerabilidad de inyección de código (CVE-2023-34330) en julio de 2023, que puede ser utilizada para inyectar código malicioso a través de las interfaces de administración remota cuando están expuestas a accesos no autorizados, lo que puede encadenarse con errores anteriores.
Una vulnerabilidad específica, CVE-2022-40258, implica el uso de contraseñas débiles para las API Redfish, facilitando a los atacantes el descifrado de contraseñas de administrador del BMC. Aunque Eclypsium indica que la CVE-2024-54085 no ha sido utilizada aún en ataques y que no se han encontrado exploits en la naturaleza, advierten que desarrollar una explotación no es difícil debido a que los binarios de firmware no están cifrados.
Se aconseja a los administradores de red que implementen los parches lanzados por AMI, Lenovo y HPE, y que tomen precauciones como no exponer las instancias de Megarac a Internet y monitorear los registros del servidor en busca de actividades sospechosas. Eclypsium enfatiza que la vulnerabilidad afecta solo al software BMC de AMI, pero su posición en la cadena de suministro BIOS implica que su impacto podría extenderse a otros fabricantes de hardware.
AMI ha distribuido parches a sus clientes, quienes a su vez deben implementarlos en actualizaciones y notificar a sus usuarios. Sin embargo, el proceso de parcheo es complejo y puede requerir tiempo de inactividad de los dispositivos, lo cual representa un reto significativo para los administradores de sistemas que buscan proteger sus infraestructuras de esta grave vulnerabilidad.
Enlace de la fuente, haz clic para tener más información