水曜日、CISA 追加した CVE-2024-54085野生で悪用されることが知られている脆弱性のリストに。通知はこれ以上の詳細を提供しませんでした。
木曜日の電子メールで、エクリプシウムの研究者は、エクスプロイトの範囲が広くなる可能性があると述べました。
- 攻撃者は、複数のBMCエクスプロイトをBMCのファームウェアに直接インプラントするために複数のBMCエクスプロイトをチェーンすることができ、その存在を検出するのが非常に困難になり、OSの再インストールやディスクの交換さえも生き残ることができます。
- OSの下で操作することにより、攻撃者はエンドポイントの保護、ロギング、およびほとんどの従来のセキュリティツールを回避できます。
- BMCアクセスを使用すると、攻撃者は、プライマリオペレーティングシステムの状態に関係なく、サーバーのオンまたはオフをリモートで電源を入れたり、再起動したり、再発用したりできます。
- 攻撃者は、リモート管理に使用されるものを含むシステムに保存されている資格情報をこすり、BMCをランチパッドとして使用してネットワーク内で横方向に移動することができます
- BMCは多くの場合、システムメモリとネットワークインターフェイスにアクセスできるため、攻撃者は敏感なデータを嗅ぎ、検出せずに情報を除去できます。
- BMCアクセスを備えた攻撃者は、意図的にファームウェアを破損し、サーバーを起動できず、大幅な運用上の混乱を引き起こす可能性があります
進行中の攻撃の詳細が公然と知られていないため、どのグループがそれらの背後にあるかは不明です。エクリプシウムは、最も可能性の高い犯人は、中国政府に代わって作業するスパイグループであると述べた。 5つの特定のAPTグループエクリプシウムはすべて、ファームウェアの脆弱性を活用したり、価値の高いターゲットへの永続的なアクセスを獲得したりする歴史があります。
Eclypsiumは、脆弱なAmi MegaracデバイスのラインがRedfishとして知られるインターフェイスを使用していると述べました。これらの製品を使用することが知られているサーバーメーカーには、AMD、Ampere Computing、Asrock、Arm、Fujitsu、Gigabyte、Huawei、Nvidia、Supermicro、およびQualcommが含まれます。これらのベンダーのすべてではありませんが、一部の一部は、製品のパッチをリリースしています。
この脆弱性の搾取による可能性のある損害を考えると、管理者は艦隊のすべてのBMCを調べて、脆弱でないことを確認する必要があります。非常に多くの異なるサーバーメーカーの影響を受けた製品を使用すると、管理者はネットワークが公開されているかどうかわからない場合は、メーカーと相談する必要があります。
