Hackers podem assumir o controle de milhares de servidores – vulnerabilidade crítica encontrada em um popular controle remoto

Foi descoberta uma vulnerabilidade que pode dar aos invasores controle total sobre milhares de servidores, muitos dos quais executam tarefas de missão crítica. A vulnerabilidade, CVE-2024-54085, foi descoberta no popular controlador AMI MegaRAC, que permite acesso remoto a grandes frotas de servidores. A vulnerabilidade recebeu uma classificação de gravidade de 10 em 10.

Fonte da imagem: unsplash.com

O AMI MegaRAC é um microcontrolador baseado na arquitetura BMC (baseboard management controller). Os administradores usam o BMC para reinstalar remotamente sistemas operacionais, instalar ou configurar aplicativos e fazer alterações de configuração. Um hack bem-sucedido de um BMC pode ser usado para invadir redes internas e hackear todos os outros BMCs.

A vulnerabilidade, CVE-2024-54085, permite que um invasor ignore a autenticação realizando uma simples solicitação web a um dispositivo BMC vulnerável via HTTP. A vulnerabilidade foi descoberta em março pela empresa de segurança Eclypsium. A divulgação da vulnerabilidade incluía um código de exploração que permitia a um invasor criar remotamente uma conta de administrador sem autenticação. No momento da divulgação, não havia relatos de exploração ativa da vulnerabilidade.

Pesquisadores do Eclypsium forneceram uma lista das principais ameaças:

• Injetar código malicioso diretamente no firmware do BMC.
• Ignora a proteção de endpoint, o registro e a maioria das ferramentas de segurança tradicionais.
• Capacidade de ligar, desligar, reinicializar e reinstalar remotamente a imagem do servidor, independentemente do estado do sistema operacional principal.
• Roubo de credenciais, incluindo aquelas usadas para controle remoto.
• Acesso à memória do sistema e interfaces de rede para interceptar dados confidenciais.
• Corrupção de firmware causando falha no servidor.

De acordo com a Eclypsium, a linha vulnerável de dispositivos AMI MegaRAC utiliza uma interface conhecida como Redfish. Os fabricantes de servidores afetados incluem AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro e Qualcomm. Alguns desses fornecedores já lançaram patches para seus dispositivos.

Considerando o dano potencial causado por invasores que exploram a vulnerabilidade CVE-2024-54085, os administradores devem verificar todos os BMCs em suas frotas e, em caso de dúvida, consultar o fabricante do hardware.