Asus патчит уязвимость в AMI MegaRAC, которая позволяет «окирпичивать» серверы

[Article Publisher]

Компания Asus выпустила патчи для уязвимости CVE-2024-54085, которая позволяет злоумышленникам захватывать и выводить из строя серверы. Баг затрагивает программное обеспечение MegaRAC Baseboard Management Controller (BMC) компании American Megatrends International (AMI), которое используется многими производителями серверного оборудования, включая Asus, HPE и ASRock.

Сообщается, что проблему CVE-2024-54085 можно эксплуатировать удаленно, что потенциально может привести к заражению вредоносным ПО, внесению изменений в прошивку и необратимым физическим повреждениям оборудования из-за подачи повышенного напряжения.

«Локальный или удаленный злоумышленник может использовать уязвимость, получив доступ к интерфейсам удаленного управления (Redfish) или внутреннему хосту к интерфейсу BMC (Redfish), — объясняют специалисты компании Eclypsium, нашедшие баг. — Эксплуатация этой уязвимости позволяет злоумышленнику удаленно контролировать взломанный сервер, устанавливать вредоносное ПО, программы-вымогатели, модифицировать прошивку, блокировать компоненты материнской платы (BMC или BIOS/UEFI), причинить физический ущерб серверу (повышенное напряжение/«окирпичивание»), а также провоцировать бесконечные циклы перезагрузки, которые жертва не сможет прервать».

Хотя разработчики AMI подготовили исправления для этой проблемы еще 11 марта 2025 года, OEM-производителям потребовалось время, чтобы внедрить патчи в свои продукты.

Только на этой неделе компания Asus сообщила о выпуске исправлений для CVE-2024-54085 для четырех затронутых моделей материнских плат.

Пользователям рекомендуется установить обновления и обновить прошивку BMC до следующих версий:

• PRO WS W790E-SAGE SE — версия 1.1.57;
• PRO WS W680M-ACE SE — версия 1.1.21;
• PRO WS WRX90E-SAGE SE — версия 2.1.28;
• PRO WS WRX80E-SAGE SE WIFI — версия 1.34.0.