Vulnerabilità critica nella gestione dei server: scoperta nel software BMC di AMI
Una vulnerabilità di sicurezza critica è stata scoperta nel software MegaRAC Baseboard Management Controller (BMC) di AMI, che potrebbe consentire a un attaccante di bypassare l’autenticazione e compiere azioni post-sfruttamento. Questa vulnerabilità, identificata come CVE-2024-54085, ha un punteggio CVSS v4 di 10.0, indicando la massima gravità.
Secondo un rapporto della società di sicurezza firmware Eclypsium, un attaccante locale o remoto può sfruttare la vulnerabilità accedendo alle interfacce di gestione remota (Redfish) o all’host interno verso l’interfaccia BMC (Redfish). Lo sfruttamento di questa vulnerabilità consente a un attaccante di controllare da remoto il server compromesso, distribuire malware, ransomware, manomettere il firmware, danneggiare componenti della scheda madre (BMC o potenzialmente BIOS/UEFI), causare danni fisici al server (sovratensione / danneggiamento) e avviare cicli di riavvio indefiniti che la vittima non può fermare.
La vulnerabilità può essere ulteriormente utilizzata per mettere in atto attacchi distruttivi, causando il riavvio continuo dei dispositivi vulnerabili tramite l’invio di comandi dannosi. Questo potrebbe portare a tempi di inattività indefiniti fino a quando i dispositivi non vengono ripristinati.
Elenco delle vulnerabilità precedenti nei BMC di AMI
CVE-2024-54085 è l’ultima di una lunga serie di carenze di sicurezza scoperte nei BMC MegaRAC di AMI dal dicembre 2022. Queste vulnerabilità sono state collettivamente tracciate come BMC&C:
- CVE-2022-40259 – Esecuzione di codice arbitrario tramite API Redfish.
- CVE-2022-40242 – Credenziali predefinite per UID = 0 shell tramite SSH.
- CVE-2022-2827 – Enumerazione utenti tramite API.
- CVE-2022-26872 – Intercettazione del reset della password tramite API.
- CVE-2022-40258 – Hash delle password deboli per Redfish e API.
- CVE-2023-34329 – Bypass dell’autenticazione tramite spoofing dell’intestazione HTTP.
- CVE-2023-34330 – Iniezione di codice tramite interfaccia di estensione dinamica Redfish.
Eclypsium ha osservato che CVE-2024-54085 è simile a CVE-2023-34329 in quanto consente un bypass dell’autenticazione con un impatto simile. La vulnerabilità è stata confermata per influenzare i seguenti dispositivi:
- HPE Cray XD670
- Asus RS720A-E11-RS24U
- ASRockRack
Patch e raccomandazioni
AMI ha rilasciato patch per risolvere il problema l’11 marzo 2025. Sebbene non ci siano prove che la vulnerabilità sia stata sfruttata in natura, è essenziale che gli utenti finali aggiornino i loro sistemi una volta che i fornitori OEM incorporano queste correzioni e le rilasciano ai loro clienti.
Eclypsium ha sottolineato che l’applicazione di queste patch non è un’operazione banale, poiché richiede tempi di inattività del dispositivo. La vulnerabilità interessa solo lo stack software BMC di AMI. Tuttavia, poiché AMI è al vertice della catena di fornitura del BIOS, l’impatto a valle riguarda oltre una dozzina di produttori.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!