Сегодня 16 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры могут захватить тысячи серверов — в популярном контроллере для удалённого управления найдена критическая уязвимость

Обнаружена уязвимость, которая может дать злоумышленникам полный контроль над тысячами серверов, многие из которых выполняют критически важные задачи. Уязвимость CVE-2024-54085 обнаружена в популярном контроллере AMI MegaRAC, который позволяет удалённо получать доступ к большим паркам серверных машин. Уязвимости присвоен рейтинг опасности 10 из возможных 10.

 Источник изображения: unsplash.com

Источник изображения: unsplash.com

AMI MegaRAC — это микроконтроллер на основе архитектуры BMC (baseboard management controller — «контроллер управления основной платой»). Администраторы используют BMC для удалённой переустановки операционных систем, установки или настройки приложений и внесения изменений в конфигурацию. Успешный взлом одного BMC может быть использован для перехода во внутренние сети и взлома всех остальных BMC.

Уязвимость CVE-2024-54085 позволяет злоумышленнику обходить аутентификацию, выполняя простой веб-запрос к уязвимому устройству BMC по HTTP. Уязвимость была обнаружена в марте компанией компьютерной безопасности Eclypsium. Раскрытие информации об уязвимости включало код эксплойта, позволяющий хакеру удалённо создать учётную запись администратора без прохождения аутентификации. На момент раскрытия сообщений об активной эксплуатации уязвимости не поступало.

Исследователи Eclypsium предоставили список основных угроз:

  • Внедрение вредоносного кода непосредственно в прошивку BMC.
  • Обход защиты конечной точки, журналирования и большинства традиционных инструментов безопасности.
  • Возможность удалённого включения, выключения, перезагрузки и переустановки образа сервера, независимо от состояния основной ОС.
  • Похищение учётных данных, включая использующиеся для удалённого управления.
  • Доступ к системной памяти и сетевым интерфейсам для перехвата конфиденциальные данных.
  • Повреждение прошивки, вызывающее отказ сервера.

По данным Eclypsium, линейка уязвимых устройств AMI MegaRAC использует интерфейс, известный как Redfish. Среди производителей серверов, оказавшихся под угрозой — AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro и Qualcomm. Некоторые из этих поставщиков уже выпустили исправления для своих устройств.

Учитывая возможный ущерб от эксплуатации злоумышленниками уязвимости CVE-2024-54085, администраторам следует проверить все BMC в своих парках, а в случае сомнений — проконсультироваться с производителем оборудования.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Apple Intelligence получила зелёный свет в Китае 39 мин.
Домашний интернет в России дорожает всё быстрее — и это ещё не предел 47 мин.
Безумный платформер про неподвластный гравитации поезд Denshattack! на релизе порадовал игроков и критиков 2 ч.
«Сбер» представил платформу GigaCode Desktop для автоматизации задач силами ИИ-агентов 4 ч.
«Экстраординарно жестокая» игра Machine Party от автора Buckshot Roulette предложит состязаться с друзьями не на жизнь, а на смерть — трейлер и дата выхода 5 ч.
«Лаборатория Касперского» представила решение Kaspersky VM для поиска и управления уязвимостями в корпоративной среде 7 ч.
«Люди перестанут быть высшей формой жизни»: глава SoftBank оценил ИИ-революцию в $5 трлн в год 8 ч.
WhatsApp готовит собственное облако для резервных копий чатов 8 ч.
Набор смайликов Unicode пополнили огурец с пупырышками, треснувшее лицо и другие полезные картинки 8 ч.
Число владельцев доменов в России растёт быстрее числа самих доменов 8 ч.
Новая статья: Обзор игрового Tandem WOLED-монитора ASUS ROG Strix OLED XG27AQWMG: запланированный апгрейд 11 мин.
OpenAI представила первый гаджет — клавиатуру для управления ИИ-агентами Codex 29 мин.
Google выкупила всю мощность крупной солнечной электростанции, которую ещё не построили 34 мин.
Nokia анонсировала первую коммерческую платформу AI-RAN, разработанную совместно с NVIDIA 37 мин.
Энтузиаст превратил игры из Steam в настоящие картриджи — с помощью старых SSD и скрипта 42 мин.
Google выкупила всю энергию 2,5-ГВт солнечной электростанции в США, которая ещё даже не построена 7 ч.
Sony отложила выпуск аркадного геймпада PlayStation FlexStrike на неопределённый срок 8 ч.
Asus выпустила игровые мониторы ROG Swift OLED PG27UCWM и PG32UCWM — Tandem RGB OLED и режимы 4K@240 и FHD@480 Гц 8 ч.
Palit представила видеокарту GeForce RTX 3060 Infinity 2 OC на пятилетнем GPU 9 ч.
Бум ИИ разгонит рынок оборудования для выпуска чипов до рекордных $230 млрд к 2028 году 9 ч.