El miércoles, CISA ayudante CVE-2024-54085 a su letanía de vulnerabilidades conocidas por ser explotadas en la naturaleza. El aviso no proporcionó más detalles.

En un correo electrónico el jueves, los investigadores de Eclypsium dijeron que el talento de las exploits tiene el potencial de ser amplio. Ese talento incluye:

• Los atacantes podrían encadenar múltiples exploits de BMC para implantar el código malvado directamente en el firmware del BMC, lo que hace que su presencia sea extremadamente difícil de detectar y permitiéndoles sobrevivir a las reinstalaciones del sistema eficaz o incluso los reemplazos de disco.
• Al tratar por debajo del sistema eficaz, los atacantes pueden evitar la protección del punto final, el registro y la mayoría de las herramientas de seguridad tradicionales.
• Con BMC Access, los atacantes pueden encender o desactivar de forma remota, reiniciar o reimular el servidor, independientemente del estado del sistema eficaz primario.
• Los atacantes pueden raer las credenciales almacenadas en el sistema, incluidas las utilizadas para la establecimiento remota, y usar el BMC como un impulso de la plataforma para moverse lateralmente interiormente de la red
• Los BMC a menudo tienen acercamiento a la memoria del sistema y las interfaces de red, lo que permite a los atacantes deducir datos confidenciales o exfiltrarse sin detección sin detección
• Los atacantes con acercamiento a BMC pueden corromper intencionalmente el firmware, lo que hace que los servidores no se puedan inclinar y causan una interrupción operativa significativa

Sin detalles públicos conocidos de los ataques en curso, no está claro qué grupos pueden estar detrás de ellos. Eclypsium dijo que los culpables más probables serían grupos de espionaje que trabajan en nombre del gobierno chino. Los cinco grupos APT específicos nombrados por el eclypsium tienen un historial de explotación de vulnerabilidades de firmware o obteniendo acercamiento persistente a objetivos de stop valía.

Eclypsium dijo que la recta de dispositivos Vulnerables AMI Megarac utiliza una interfaz conocida como pez rojo. Los fabricantes de servidores que se sabe que usan estos productos incluyen AMD, Ampere Computing, Asrock, Arm, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro y Qualcomm. Algunos, pero no todos, de estos proveedores han agresivo parches para sus productos.

Hexaedro el daño posible por la explotación de esta vulnerabilidad, los administradores deben examinar todos los BMC en sus flotas para respaldar que no sean vulnerables. Con productos de tantos fabricantes de servidores diferentes afectados, los administradores deben consultar con su fabricante cuando no están seguros de si sus redes están expuestas.