Hogyan működik a támadás?
A sebezhetőség – CVE-2024-54085 – egyszerűen kihasználható: elegendő egy egyszerű webes kérés elküldése HTTP-n keresztül, és a támadó máris adminisztrátori fiókot hozhat létre bármiféle jelszó vagy azonosítás nélkül. Az Eclypsium biztonsági cég fedezte fel a hibát márciusban, és ekkor ismertetett is egy bizonyító erejű exploit kódot, bár akkor még nem volt ismert éles támadás. A CISA (az amerikai kiberügynökség) azonban szerdán megerősítette: a sérülékenységet már ki is használják.
Miért ennyire veszélyes?
A támadók BMC-láncolással elrejthetik rosszindulatú kódjukat a firmware-ben, amit még az operációs rendszer újratelepítése vagy a merevlemez cseréje sem távolít el. Így a gépekhez ettől függetlenül hozzáférnek: ki- vagy be tudják kapcsolni, újraindíthatják, képesek érzékeny adatokat lopni, sőt akár véglegesen működésképtelenné is tehetik a szervereket.
Az ilyen támadások ráadásul láthatatlanok maradnak, mert közvetlenül az operációs rendszer alatt futnak, így kikerülik a védelmi rendszereket és a naplózást. Hálózati mozgásokat indíthatnak el belső hálózatok felé, jelentős kárt okozva.
Kiket érint, mit lehet tenni?
Az AMI MegaRAC Redfish felületű BMC-kkel szerelt gépeket több nagy gyártó szervereiben alkalmazzák: többek között az AMD, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro, Qualcomm és ASRock gépeken. Nem mindegyik adott még ki javítást. Szakértők szerint a támadók valószínűleg kínai állami hackercsoportok lehetnek, akik gyakran támadnak ilyen típusú célpontokat.
A megelőzéshez minden adminisztrátornak át kell vizsgálnia a szerverpark BMC-it, és ha bizonytalanok, konzultálniuk kell a gyártóval. A sebezhetőség miatt akár több millió forint kár is keletkezhet egyetlen támadással, ezért a gyors frissítés és ellenőrzés létfontosságú.
