Сегодня 29 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры могут захватить тысячи серверов — в популярном контроллере для удалённого управления найдена критическая уязвимость

Обнаружена уязвимость, которая может дать злоумышленникам полный контроль над тысячами серверов, многие из которых выполняют критически важные задачи. Уязвимость CVE-2024-54085 обнаружена в популярном контроллере AMI MegaRAC, который позволяет удалённо получать доступ к большим паркам серверных машин. Уязвимости присвоен рейтинг опасности 10 из возможных 10.

 Источник изображения: unsplash.com

Источник изображения: unsplash.com

AMI MegaRAC — это микроконтроллер на основе архитектуры BMC (baseboard management controller — «контроллер управления основной платой»). Администраторы используют BMC для удалённой переустановки операционных систем, установки или настройки приложений и внесения изменений в конфигурацию. Успешный взлом одного BMC может быть использован для перехода во внутренние сети и взлома всех остальных BMC.

Уязвимость CVE-2024-54085 позволяет злоумышленнику обходить аутентификацию, выполняя простой веб-запрос к уязвимому устройству BMC по HTTP. Уязвимость была обнаружена в марте компанией компьютерной безопасности Eclypsium. Раскрытие информации об уязвимости включало код эксплойта, позволяющий хакеру удалённо создать учётную запись администратора без прохождения аутентификации. На момент раскрытия сообщений об активной эксплуатации уязвимости не поступало.

Исследователи Eclypsium предоставили список основных угроз:

  • Внедрение вредоносного кода непосредственно в прошивку BMC.
  • Обход защиты конечной точки, журналирования и большинства традиционных инструментов безопасности.
  • Возможность удалённого включения, выключения, перезагрузки и переустановки образа сервера, независимо от состояния основной ОС.
  • Похищение учётных данных, включая использующиеся для удалённого управления.
  • Доступ к системной памяти и сетевым интерфейсам для перехвата конфиденциальные данных.
  • Повреждение прошивки, вызывающее отказ сервера.

По данным Eclypsium, линейка уязвимых устройств AMI MegaRAC использует интерфейс, известный как Redfish. Среди производителей серверов, оказавшихся под угрозой — AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro и Qualcomm. Некоторые из этих поставщиков уже выпустили исправления для своих устройств.

Учитывая возможный ущерб от эксплуатации злоумышленниками уязвимости CVE-2024-54085, администраторам следует проверить все BMC в своих парках, а в случае сомнений — проконсультироваться с производителем оборудования.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Electronic Arts уйдёт с биржи благодаря сделке на $55 миллиардов — компанию выкупят три инвестора, включая Суверенный фонд Саудовской Аравии 43 мин.
Обороты компьютерных клубов в России за пять лет выросли в десятки раз 3 ч.
Devolver анонсировала Minos — игру о строительстве непроходимых лабиринтов по мотивам древнегреческого мифа о Тесее и Минотавре 5 ч.
Silent Hill f обогнала ремейк Silent Hill 2 по скорости продаж на запуске 5 ч.
Разработчики сосредоточились на ИИ-моделях мира для создания сверхразума 5 ч.
Databricks и OpenAI помогут клиентам в развёртывании приложений на базе передовых ИИ-моделей 6 ч.
Число криптомиллионеров выросло на 40 % за год — теперь их 241 700 28-09 16:30
Nival выложила в открытый доступ исходный код военной стратегии «Блицкриг 2» 28-09 15:48
Google работает над функцией бесшовного переноса приложений между Android и Windows 28-09 13:12
Новая статья: Gamesblender № 745: геймплей Marvel’s Wolverine, ремастер Deus Ex, ремейк Yakuza 3 и хоррор Кодзимы 28-09 12:31
Euclyd разрабатывает ИИ-ускоритель Craftwerk с фирменной памятью UBM: 1 Тбайт и 8 Пбайт/с 7 мин.
Британский оператор BT в панике потребовал убрать все литиевые аккумуляторы из телефонных станций из-за риска возгорания 57 мин.
Геймерский 27-дюймовый QD-OLED-монитор Gigabyte Aorus FO27Q5P с 2K и 500 Гц дебютировал в России 2 ч.
Nothing представила CMF Headphone Pro — модульные полноразмерные наушники с автономностью на 100 часов за $99 2 ч.
Qualcomm представила результаты тестов Snapdragon X2 Elite Extreme, в которых он оказался лучше всех 2 ч.
Digital Realty получит от Current Hydro 500 ГВт∙ч энергии с американских ГЭС 3 ч.
В России подорожали ноутбуки премиум-класса — впереди новый виток роста цен 3 ч.
Закрытие угольных электростанций в США забуксовало из-за спроса на энергию для ИИ ЦОД 4 ч.
Huawei удвоит объёмы выпуска флагманских ИИ-чипов в следующем году, но до Nvidia ещё далеко 4 ч.
315 млн ИИ-ядер и 1,4 квадрлн транзисторов: Cerebras открыла в США 10-МВт ЦОД на царь-чипах WSE-3 5 ч.