激活利用漏洞可对服务器舰队实现非凡控制

AMI MegaRAC 用于 AMD、ARM、富士通、技嘉、超微和高通等厂商的服务器。

图片来源：Getty Images

美国网络安全与基础设施安全局（CISA）警告称，黑客正在利用一个严重程度为满分10分的漏洞，该漏洞可能使他们对成千上万台服务器实现完全控制，其中许多服务器负责数据中心内的关键任务。

该漏洞存在于 AMI MegaRAC 中，这是一个广泛使用的固件包，允许在断电或操作系统无法运行时远程访问和管理大量服务器。这些连接至主板的微控制器被称为基板管理控制器（BMC），可对数据中心内的服务器实现非凡控制。

管理员可利用 BMC 无需亲临现场即可重新安装操作系统、安装或修改应用程序，并对大量服务器进行配置更改，且在许多情况下无需服务器开机。成功入侵单个 BMC 可用于跳转至内部网络并入侵所有其他 BMC。

我们根本不需要任何凭证

该漏洞被跟踪为 CVE-2024-54085，可通过向易受攻击的 BMC 设备发送简单的 HTTP 网络请求实现身份验证绕过。该漏洞由安全公司 Eclypsium 发现，并于 3 月披露 链接。披露内容包含概念验证利用代码，允许远程攻击者无需提供任何身份验证即可创建管理员账户。在披露时，尚未有已知的漏洞被主动利用报告。

周三，CISA 将 CVE-2024-54085 添加至其已知被野外利用的漏洞列表中。通知中未提供进一步细节。

周四，Eclypsium 研究人员通过电子邮件表示，这些漏洞的利用范围可能非常广泛：

• 攻击者可串联多个 BMC 漏洞直接植入恶意代码至 BMC 固件中，使其存在难以检测，并允许其在操作系统重装甚至硬盘更换后仍能存活。
• 通过在操作系统之下运行，攻击者可规避终端防护、日志记录和大多数传统安全工具。
• 通过 BMC 访问权限，攻击者可远程开关机、重启或重新镜像服务器，无论主操作系统处于何种状态。
• 攻击者可刮取系统中存储的凭证，包括用于远程管理的凭证，并利用 BMC 作为跳板在内部网络中横向移动。
• BMC 通常可访问系统内存和网络接口，使攻击者可在未被察觉的情况下嗅探敏感数据或外泄信息。
• 拥有 BMC 访问权限的攻击者可故意破坏固件，使服务器无法启动并造成重大运营中断。

由于尚未有公开的持续攻击细节，尚不清楚哪些组织可能在幕后。Eclypsium 表示最可能的嫌疑人是中国政府支持的情报组织。Eclypsium 命名的五家特定高级持续性威胁（APT）组织均有利用固件漏洞或获取高价值目标持久访问的历史记录。

Eclypsium 表示，这些易受攻击的 AMI MegaRAC 设备使用了一种名为 Redfish 的接口。已知使用这些产品的服务器制造商包括 AMD、Ampere Computing、ASRock、ARM、富士通、技嘉、华为、Nvidia、超微和高通。其中一些，但并非全部，厂商已发布针对其产品的补丁。

鉴于该漏洞可能造成的损害，管理员应检查其舰队中的所有 BMC 以确保其不受影响。鉴于如此多不同服务器制造商的产品受到影响，管理员在不确定其网络是否暴露时应咨询其制造商。