Foi descoberta uma vulnerabilidade que pode dar aos invasores controle total sobre milhares de servidores, muitos dos quais executam tarefas de missão crítica. A vulnerabilidade, CVE-2024-54085, foi descoberta no popular controlador AMI MegaRAC, que permite acesso remoto a grandes frotas de servidores. A vulnerabilidade recebeu uma classificação de gravidade de 10 em 10.
Fonte da imagem: unsplash.com
O AMI MegaRAC é um microcontrolador baseado na arquitetura BMC (baseboard management controller). Os administradores usam o BMC para reinstalar remotamente sistemas operacionais, instalar ou configurar aplicativos e fazer alterações de configuração. Um hack bem-sucedido de um BMC pode ser usado para invadir redes internas e hackear todos os outros BMCs.
A vulnerabilidade, CVE-2024-54085, permite que um invasor ignore a autenticação realizando uma simples solicitação web a um dispositivo BMC vulnerável via HTTP. A vulnerabilidade foi descoberta em março pela empresa de segurança Eclypsium. A divulgação da vulnerabilidade incluía um código de exploração que permitia a um invasor criar remotamente uma conta de administrador sem autenticação. No momento da divulgação, não havia relatos de exploração ativa da vulnerabilidade.
Pesquisadores do Eclypsium forneceram uma lista das principais ameaças:
- Injetar código malicioso diretamente no firmware do BMC.
- Ignora a proteção de endpoint, o registro e a maioria das ferramentas de segurança tradicionais.
- Capacidade de ligar, desligar, reinicializar e reinstalar remotamente a imagem do servidor, independentemente do estado do sistema operacional principal.
- Roubo de credenciais, incluindo aquelas usadas para controle remoto.
- Acesso à memória do sistema e interfaces de rede para interceptar dados confidenciais.
- Corrupção de firmware causando falha no servidor.
De acordo com a Eclypsium, a linha vulnerável de dispositivos AMI MegaRAC utiliza uma interface conhecida como Redfish. Os fabricantes de servidores afetados incluem AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro e Qualcomm. Alguns desses fornecedores já lançaram patches para seus dispositivos.
Considerando o dano potencial causado por invasores que exploram a vulnerabilidade CVE-2024-54085, os administradores devem verificar todos os BMCs em suas frotas e, em caso de dúvida, consultar o fabricante do hardware.