Компания Asus выпустила обновления для устранения уязвимости CVE-2024-54085 в программном обеспечении MegaRAC Baseboard Management Controller (BMC), которая позволяла злоумышленникам получать контроль над серверами и выводить их из строя, cообщает Bleeping Computer. BMC выпускается компанией American Megatrends International (AMI) и используется многими производителями серверного оборудования, включая Asus, HPE и ASRock.
По словам экспертов Eclypsium, обнаруживших эту уязвимость, CVE-2024-54085 может эксплуатироваться удалённо.
«Злоумышленник может использовать эту уязвимость из локальной сети или удалённо, получив доступ к интерфейсам удалённого управления (Redfish) или внутреннему хосту интерфейса BMC (Redfish)», — поясняется в отчёте Eclypsium.
Эксплуатация уязвимости позволяет злоумышленнику управлять скомпрометированным сервером, устанавливать вредоносное ПО, программы-вымогатели, изменять прошивку, блокировать компоненты материнской платы (BMC или BIOS/UEFI), наносить физический ущерб серверу («окирпичить», подняв напряжение выше допустимого, а также вызывать бесконечные циклы перезагрузки, которые жертва не сможет остановить.
AMI выпустила патч для уязвимости ещё 11 марта 2024 года, однако OEM-производителям потребовалось время для его интеграции в свои продукты. Asus выпустила свои исправления для CVE-2024-54085 на прошлой неделе для четырёх моделей материнских плат.
Пользователям рекомендуется обновить прошивку BMC до следующих версий:
PRO WS W790E-SAGE SE — версия 1.1.57;
PRO WS W680M-ACE SE — версия 1.1.21;
PRO WS WRX90E-SAGE SE — версия 2.1.28;
PRO WS WRX80E-SAGE SE WIFI — версия 1.34.0.
Источник: habr.com
