В современном мире информационных технологий серверы играют ключевую роль в поддержке большинства бизнес-процессов и критически важных операций. Именно на их основе строятся работы дата-центров, облачные сервисы и корпоративные сети. Однако недавно выявленная уязвимость в широко используемом программном обеспечении AMI MegaRAC может привести к колоссальным последствиям для компаний и организаций, так как она позволяет злоумышленникам получать неограниченный контроль над значительными парками серверов. Уязвимость (CVЕ-2024-54085) получила максимальную оценку по шкале CVSS – 10 из 10 и на сегодняшний день подтверждено ее активное использование в атаках в реальной среде, что вызывает обеспокоенность специалистов по кибербезопасности и профильных государственных агентств, таких как американское Агентство по кибербезопасности и инфраструктурной безопасности (CISA). AMI MegaRAC представляет собой программное обеспечение для Baseboard Management Controller (BMC) — микроконтроллеров, встроенных непосредственно в материнские платы серверов.
BMC отвечает за удаленное управление сервером вне зависимости от состояния операционной системы или даже наличия питания. Эта функция особенно важна для администраторов, так как позволяет производить установку, обновление и конфигурации серверов без необходимости физического доступа к оборудованию. Именно поэтому уязвимость в MegaRAC основана на обходе аутентификации, что позволяет злоумышленнику выполнять команды и создавать учетные записи с правами администратора без вводов какого-либо пароля или других проверок. Эксплуатация данной уязвимости возможна по протоколу HTTP, посредством простой веб-запроса, что значительно облегчает ее использование злоумышленниками. Вскрытие возможности создания учетных записей без аутентификации было зафиксировано исследователями фирмы Eclypsium еще в марте 2024 года, однако теперь уязвимость перешла в активную фазу эксплуатации.
В отличие от многих других уязвимостей, эксплуатируемых на уровне ОС, доступ к BMC предоставляет атакующему более глубокий доступ, включая возможность перезапуска серверов, изменения конфигурации и даже перепрошивки микроконтроллера. Такие действия позволяют не только временно вывести сервер из строя, но и внедрять вредоносный код на уровне прошивки, что делает обнаружение и устранение атаки чрезвычайно сложным. Злоумышленники, получившие контроль над BMC, могут собирать аутентификационные данные, используемые для удаленного управления, что открывает путь для масштабного горизонтального перемещения внутри сети и компрометации других устройств. Такое проникновение способно парализовать работу дата-центров, поскольку многие BMC имеют прямой доступ к системной памяти и сетевым интерфейсам, что дает потенциальным злоумышленникам возможность перехватывать и похищать конфиденциальные данные без ведома IT-отделов. Аналитики Eclypsium отмечают, что применение сложных цепочек эксплойтов к нескольким BMC позволяет внедрять постоянные вредоносные компоненты, которые сохраняются даже после переустановки операционных систем или замены жестких дисков, что значительно усложняет очистку зараженных серверов.
По предварительным данным, среди наиболее вероятных организаторов атак числятся кибершпионские группы, работающие на государства с высокими интересами в промышленном и политическом шпионаже. История использования подобных методов у перечисленных известных APT-групп подкрепляет предположения о том, что эксплуатация уязвимости может быть частью масштабных кибершпионских операций. Учитывая, что ряд производителей серверного оборудования, включая AMD, ARM, Fujitsu, Gigabyte и Qualcomm, интегрируют AMI MegaRAC в свои решения, данная уязвимость затрагивает широкий спектр инфраструктур. Некоторая часть из них выпустила обновления и патчи, однако полный охват и своевременное применение исправлений всё ещё требуют повышенного внимания со стороны администраторов и руководителей IT-отделов. Для снижения риска компрометации серверных систем крайне важно провести аудит всех имеющихся BMC, проверить наличие доступных обновлений производителя и мобилизовать усилия по своевременному развертыванию патчей.
Использование мониторинговых систем для отслеживания необычной активности на этих интерфейсах также повысит уровень защиты. Помимо технических мер, необходим комплексный подход к безопасности, включающий обучение сотрудников, контроль доступа и применение многофакторной аутентификации, где это возможно. В конечном итоге, уязвимость в AMI MegaRAC демонстрирует насколько уязвимы современные IT-инфраструктуры, особенно в аспектах удаленного управления оборудованием на уровне микроконтроллеров. Время имеет ключевое значение для предотвращения масштабных кибератак и минимизации последствий от возможных инцидентов безопасности. Владельцам и администраторам серверов рекомендуется незамедлительно предпринять необходимые шаги для оценки и устранения потенциальных угроз, обеспечивая устойчивость своих систем и сохранность данных.
Только посредством комплексного подхода к безопасности можно гарантировать эффективную защиту от подобных «глубоких» атак, направленных на самые базовые уровни серверной аппаратуры и программного обеспечения.
