La vulnerabilidad explotada activamente ofrece un management extraordinario sobre las flotas del servidor

El miércoles, CISA agregado CVE-2024-54085 a su lista de vulnerabilidades conocidas por ser explotadas en la naturaleza. El aviso no proporcionó más detalles.

En un correo electrónico el jueves, los investigadores de Eclypsium dijeron que el alcance de las exploits tiene el potencial de ser amplio:

• Los atacantes podrían encadenar múltiples exploits de BMC para implantar el código malicioso directamente en el firmware del BMC, lo que hace que su presencia sea extremadamente difícil de detectar y permitiéndoles sobrevivir a las reinstalaciones del sistema operativo o incluso los reemplazos de disco.
• Al operar por debajo del sistema operativo, los atacantes pueden evadir la protección del punto last, el registro y la mayoría de las herramientas de seguridad tradicionales.
• Con BMC Entry, los atacantes pueden encender o desactivar de forma remota, reiniciar o reimular el servidor, independientemente del estado del sistema operativo primario.
• Los atacantes pueden raspar las credenciales almacenadas en el sistema, incluidas las utilizadas para la administración remota, y usar el BMC como un lanzamiento de la plataforma para moverse lateralmente dentro de la pink
• Los BMC a menudo tienen acceso a la memoria del sistema y las interfaces de pink, lo que permite a los atacantes oler datos confidenciales o exfiltrarse sin detección sin detección
• Los atacantes con acceso a BMC pueden corromper intencionalmente el firmware, lo que hace que los servidores no se puedan inclinar y causan una interrupción operativa significativa

Sin detalles públicos conocidos de los ataques en curso, no está claro qué grupos pueden estar detrás de ellos. Eclypsium dijo que los culpables más probables serían grupos de espionaje que trabajan en nombre del gobierno chino. Los cinco grupos APT específicos nombrados por el eclypsium tienen un historial de explotación de vulnerabilidades de firmware o obteniendo acceso persistente a objetivos de alto valor.

Eclypsium dijo que la línea de dispositivos Vulnerables AMI Megarac utiliza una interfaz conocida como pez rojo. Los fabricantes de servidores que se sabe que usan estos productos incluyen AMD, Ampere Computing, Asrock, Arm, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro y Qualcomm. Algunos, pero no todos, de estos proveedores han lanzado parches para sus productos.

Dado el daño posible por la explotación de esta vulnerabilidad, los administradores deben examinar todos los BMC en sus flotas para garantizar que no sean vulnerables. Con productos de tantos fabricantes de servidores diferentes afectados, los administradores deben consultar con su fabricante cuando no están seguros de si sus redes están expuestas.