El miércoles, CISA agregó CVE-2024-54085 a su lista de vulnerabilidades que se sabe que se explotan en la naturaleza. El aviso no proporcionó más detalles. En un correo electrónico el jueves, los investigadores de Eclypsium dijeron que el alcance de las exploits tiene el potencial de ser amplios: los atacantes podrían encadenar múltiples exploits de BMC para implantar el código malicioso directamente en el firmware del BMC, lo que hace que su presencia sea extremadamente difícil de detectar y permitiéndoles sobrevivir a las reinstalaciones de los OS o las reemplazos de disco incluso. Al operar por debajo del sistema operativo, los atacantes pueden evadir la protección del punto final, el registro y la mayoría de las herramientas de seguridad tradicionales. Con BMC Access, los atacantes pueden encender o desactivar de forma remota, reiniciar o reimular el servidor, independientemente del estado del sistema operativo primario. Los atacantes pueden raspar las credenciales almacenadas en el sistema, incluidas las utilizadas para la administración remota, y usar el BMC como un lanzamiento de la plataforma para moverse lateralmente dentro de la red, los BMC a menudo tienen acceso a la memoria del sistema y a Ataques en curso, no está claro qué grupos pueden estar detrás de ellos. Eclypsium dijo que los culpables más probables serían grupos de espionaje que trabajan en nombre del gobierno chino. Los cinco grupos APT específicos nombrados por el eclypsium tienen un historial de explotación de vulnerabilidades de firmware o obteniendo acceso persistente a objetivos de alto valor. Eclypsium dijo que la línea de dispositivos Vulnerables AMI Megarac utiliza una interfaz conocida como pez rojo. Los fabricantes de servidores que se sabe que usan estos productos incluyen AMD, Ampere Computing, Asrock, Arm, Fujitsu, Gigabyte, Huawei, Nvidia y Qualcomm. Algunos, pero no todos, de estos proveedores han lanzado parches para sus productos. Dado el daño posible por la explotación de esta vulnerabilidad, los administradores deben examinar todos los BMC en sus flotas para garantizar que no sean vulnerables. Con productos de tantos fabricantes de servidores diferentes afectados, los administradores deben consultar con su fabricante cuando no están seguros de si sus redes están expuestas.
Deja una respuesta