A szervereket vadászó sebezhetőség: a rejtett kiberkáosz
Amerikai kiberbiztonsági szakértők figyelmeztetnek: egy maximális, 10-es súlyosságú sebezhetőség tette lehetővé hackerek számára, hogy teljesen átvegyék több ezer szerver irányítását. Az AMI MegaRAC nevű firmware, amelyet adatközpontokban használnak szerverparkok távoli menedzsmentjére, most különösen veszélybe került. Ezek a szerverek alaplapjába épített vezérlők (BMC, azaz baseboard management controller) lehetővé teszik, hogy a rendszergazdák akár áram nélkül is hozzáférjenek a gépekhez.
Hogyan működik a támadás?
A sebezhetőség – CVE-2024-54085 – egyszerűen kihasználható: elegendő egy egyszerű webes kérés elküldése HTTP-n keresztül, és a támadó máris adminisztrátori fiókot hozhat létre bármiféle jelszó vagy azonosítás nélkül. Az Eclypsium biztonsági cég fedezte fel a hibát márciusban, és ekkor ismertetett is egy bizonyító erejű exploit kódot, bár akkor még nem volt ismert éles támadás. A CISA (az amerikai kiberügynökség) azonban szerdán megerősítette: a sérülékenységet már ki is használják.
Miért ennyire veszélyes?
A támadók BMC-láncolással elrejthetik rosszindulatú kódjukat a firmware-ben, amit még az operációs rendszer újratelepítése vagy a merevlemez cseréje sem távolít el. Így a gépekhez ettől függetlenül hozzáférnek: ki- vagy be tudják kapcsolni, újraindíthatják, képesek érzékeny adatokat lopni, sőt akár véglegesen működésképtelenné is tehetik a szervereket.
Az ilyen támadások ráadásul láthatatlanok maradnak, mert közvetlenül az operációs rendszer alatt futnak, így kikerülik a védelmi rendszereket és a naplózást. Hálózati mozgásokat indíthatnak el belső hálózatok felé, jelentős kárt okozva.
Az AMI MegaRAC Redfish felületű BMC-kkel szerelt gépeket több nagy gyártó szervereiben alkalmazzák: többek között az AMD, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro, Qualcomm és ASRock gépeken. Nem mindegyik adott még ki javítást. Szakértők szerint a támadók valószínűleg kínai állami hackercsoportok lehetnek, akik gyakran támadnak ilyen típusú célpontokat.
A megelőzéshez minden adminisztrátornak át kell vizsgálnia a szerverpark BMC-it, és ha bizonytalanok, konzultálniuk kell a gyártóval. A sebezhetőség miatt akár több millió forint kár is keletkezhet egyetlen támadással, ezért a gyors frissítés és ellenőrzés létfontosságú.
2025, adrienne, arstechnica.com alapján
filózó
Te mit tennél, ha a te szervered lenne érintett ebben a hibában?
Szerinted etikus az, ha valaki csak kipróbálja ezt a hibát más szerverein, hogy megtudja, működik-e?
Te mit gondolsz, hogyan lehetne jobban megelőzni az ilyen sebezhetőségeket?
💫 Egy új kísérletben sikerült ötvözni a kvantumszámítógépet és a szuperszámítógépet, így áttörést értek el a fúziós reaktorokban zajló fizikai folyamatok modellezésében...
Az elmúlt hetekben az új Google Home Speaker vásárlóit komoly bosszúságok érték: a készülék beállítása során sokuk szembesült egy makacs hibával, amely egyszerűen megakadályozta a használatot...
🪙 Egy norvég mezőn végzett fémdetektorozás közben különös felfedezés született: egy tárgy, amit eredetileg elhagyott gombnak gondoltak, végül egy 900 éves ezüstpénznek bizonyult...
💰 Egyre több cég dönt úgy, hogy olcsóbb, nyílt forráskódú MI-modellekre vált, miután a fejlett rendszerek használata világszerte elszálló számlákat eredményezett...
💖 Egy különleges, puha robot-szív képes utánozni a szívelégtelenség több különböző fázisát, így új lehetőséget adhat a kutatóknak arra, hogy még a klinikai vizsgálatok előtt teszteljék a lehetséges kezeléseket...
A legfrissebb Windows Defender-javítás ugyan befoltoz egy komoly biztonsági rést, de újabb, igencsak kellemetlen mellékhatást is bevezethet: lehetőséget teremt arra, hogy támadók pillanatok alatt teleírják a számítógép merevlemezét, egészen addig, amíg egyetlen bájtnyi hely sem marad...
🛠 Az OpenAI végre bemutatta azt az univerzális mesterségesintelligencia-alkalmazást, amely egyetlen helyen egyesíti a legfontosabb digitális munkaeszközöket...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Between Dates Calendar Math (iPhone/iPad)A Between Days egy egyszerű alkalmazás, amely megmutatja, hány nap van két megadott dátum között...
Egy apró, élénkpiros mosollyal díszített pók ejtette ámulatba a kutatókat, amikor Indiában – jóval távolabb Hawaii-tól, amelyhez eddig kötötték a híres „mosolygós pókot” – fedezték fel...
🚨 Megemlíthető továbbá, hogy a digitális fenyegetések egyre kifinomultabbak, most pedig a Forg365 platform vetett be újszerű, MI-alapú módszereket a Microsoft 365-fiókok elleni adathalásztámadások során...
Érdemes megérteni, hogy az OpenAI ismét nagyot lépett előre: bemutatta legújabb fejlesztését, amely képes komplex, akár órákig tartó feladatok önálló elvégzésére, nem akad el a hosszabb munkafolyamatokban, és ténylegesen kézzelfogható eredményre vezet különféle célok esetén is...
🔥 Az Asus ProArt GeForce RTX 5090 32 GB GDDR7 OC Edition kifejezetten a tartalomgyártók és prémium minőségű munkaállomások építőinek szánt grafikus kártya, amely ötvözi a legerősebb fogyasztói GPU-t egy vékonyabb, kis helyigényű kivitelben...
📷 Egy személyautó-méretű óriáskamera megkezdte minden idők legnagyobb földi égboltfelmérését Chilében. A Cerro Pachón tetején működő, 3 tonnás digitális műszer elindította a Legacy Survey of Space and Time-ot, és mostantól éjszakánként, negyven másodpercenként, körülbelül 3200 megapixeles, 8 GB-os képeket készít az univerzumról...
A legújabb csillagászati megfigyeléseknek köszönhetően kiderült, hogy a Tejútrendszer két hatalmas spirálkarja sokkal messzebb húzódik, mint azt valaha gondoltuk...
Lényeges, hogy az Egyesült Államokat az utóbbi hetekben különösen súlyos parazitajárvány sújtja: országszerte már több mint ezer cyclosporiasis-fertőzést jelentettek...
Az MI-ügynökök egyre fontosabb szerepet töltenek be a vállalati működésben, azonban az egyszerűség kedvéért gyakran ugyanazt az API-kulcsot kapják meg...
Az antibiotikum-rezisztencia az egyik legsúlyosabb egészségügyi fenyegetés világszerte, a következő 15 évben akár 39 millió halálesethez is vezethet, ha a baktériumok továbbra is ellenállóvá válnak a gyógyszerekkel szemben...
Időutazás a történelembe: Julius Caesar majdnem elszenvedett macedóniai veresége, a Vichy-kormány megalakulása és a Death Valley hőmérsékleti rekordja mind ezen a napon történt...
A Google új Home hangszórója igen viharosan rajtolt, hiszen hónapokkal a Pixel 10 bemutatója után, hosszas késlekedést és számos kiszivárgást követően jutott el a felhasználókhoz...
👀 Érdemes megérteni, hogy a Johns Hopkins Egyetem kutatóinak sikerült megfejteniük, miként alakul ki az éles, központi látásunk már születésünk előtt...
🛡 Érdemes megvizsgálni, hogy a júniusi hibajavítási hullám után egy új, napvilágot látott sebezhetőség miatt ismét frissítést kellett kiadnia a Microsoftnak...