积极使用的漏洞可以对服务器舰队进行非凡的控制

周三，CISA将CVE-2024-54085添加到其已知在野外被剥削的漏洞清单。该意见没有提供其他细节。

Eclypse研究人员在周四的一封电子邮件中说，漏洞的范围有可能广泛。此范围包括：

• 攻击者可以直接在BMC固件中直接实现多个BMC漏洞来实现恶意代码，这使得他们的存在非常难以检测，并允许他们在操作系统甚至置换盘更换的重新安装中幸存下来。
• 通过在操作系统下操作，攻击者可以逃脱终止点，记录和大多数传统安全工具的保护。
• 有了访问BMC，无论主要操作系统的状态如何，攻击者都可以在或停用，重新启动或重新构想服务器。
• 攻击者可以刮擦存储在系统上的识别信息，包括用于远程管理的信息，并使用BMC作为启动，以在网络中横向移动
• BMC通常可以访问系统内存和网络界面，允许攻击者无检测而无需检测到敏感数据或渗透信息
• 使用BMC访问的攻击者可能有意损坏固件，使服务器固有地使服务器造成重要的操作破坏

没有当前攻击的任何已知细节，很难知道哪些群体可以在他们身后。 eclypsium表示，最有可能的罪魁祸首是监视代表中国政府工作的团体。名为Eclypse的五个特定APT组具有利用固件漏洞或获得高价值目标的历史记录。

eclypsium说，梅加拉克设备的脆弱友谊使用以塞巴斯特的名义使用的已知界面。已知使用这些产品的服务器制造商包括AMD，Ampère计算，Asrock，Arm，Fujitsu，Gigabyte，Huawei，Nvidia，Supermicro和Qualcomm。有些但并非所有这些卖家都为其商品发布了修复。

鉴于对这种漏洞的剥削可能损坏，管理员应检查其舰队中的所有BMC，以确保他们不脆弱。分配了许多不同服务器制造商的产品，管理员应在不知道其网络是否暴露时咨询其制造商。