U srijedu je CISA dodala ranjivost CVE-2024-54085 na svoj popis ranjivosti za koje je poznato da se iskorištavaju u stvarnom svijetu. Obavijest nije pružila daljnje detalje.
U e-mailu u četvrtak, istraživači iz Eclypsiuma naveli su da opseg iskorištavanja može biti širok:
Napadači bi mogli povezati više BMC (Baseboard Management Controller) iskorištavanja kako bi implantirali zlonamjerni kod izravno u firmware BMC-a, što bi njihovu prisutnost učinilo iznimno teškom za otkrivanje i omogućilo im preživljavanje ponovnih instalacija operativnog sustava ili čak zamjene diska.
Radom ispod razine operativnog sustava, napadači mogu izbjeći zaštitu krajnjih točaka, evidentiranje i većinu tradicionalnih sigurnosnih alata.
Uz pristup BMC-u, napadači mogu daljinski uključiti ili isključiti, ponovo pokrenuti ili ponovno instalirati server, bez obzira na stanje primarnog operativnog sustava.
Napadači mogu prikupiti vjerodajnice pohranjene u sustavu, uključujući one koje se koriste za daljinsko upravljanje, te koristiti BMC kao odskočnu dasku za lateralno kretanje unutar mreže.
BMC-ovi često imaju pristup sistemskoj memoriji i mrežnim sučeljima, što omogućava napadačima da presreću osjetljive podatke ili exfiltriraju informacije bez otkrivanja.
Napadači s pristupom BMC-u mogu namjerno oštetiti firmware, čime se serveri čine nebootable i uzrokuju značajne operativne smetnje.
Budući da nema javno poznatih detalja o tekućim napadima, nije jasno koje bi grupe mogle biti iza njih. Eclypsium je naveo da su najvjerojatniji počinitelji špijunske grupe koje rade u ime kineske vlade. Sve četiri specifične APT grupe koje je Eclypsium imenovao imaju povijest iskorištavanja ranjivosti firmware-a ili stjecanja trajnog pristupa visokovrijednim metama.
Eclypsium je također rekao da ranjivi uređaji AMI MegaRAC koriste sučelje poznato kao Redfish. Proizvođači servera za koje je poznato da koriste ove proizvode uključuju AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro i Qualcomm. Neki, ali ne svi, od ovih dobavljača su objavili zakrpe za svoje proizvode.
Uzimajući u obzir moguću štetu od iskorištavanja ove ranjivosti, administratori bi trebali pregledati sve BMC-ove u svojim flotama kako bi osigurali da nisu ranjivi. S obzirom na to da su proizvodi mnogih različitih proizvođača servera pogođeni, administratori bi trebali konzultirati svog proizvođača kada nisu sigurni jesu li njihove mreže izložene.
