Виявлено у природі: Два експлойти Secure Boot, з яких Microsoft виправляє лише один

Активно використана уразливість надає надзвичайний контроль над флотами серверів

Оприлюднено 2 Липня, 2025

У середу CISA додала CVE-2024-54085 до списку уразливостей, які відомі своєю експлуатацією в реальному світі. У повідомленні не було надано додаткових деталей.

У електронному листі в четвер дослідники Eclypsium зазначили, що масштаби експлуатацій можуть бути значними:

  • Зловмисники можуть комбінувати кілька експлуатацій BMC для впровадження шкідливого коду безпосередньо у прошивку BMC, що ускладнює виявлення їхньої присутності та дозволяє залишитись непоміченими навіть після перевстановлення ОС або заміни дисків.
  • Операція нижче рівня ОС дозволяє зловмисникам уникати захисту кінцевих точок, ведення журналів і більшість традиційних засобів безпеки.
  • З доступом до BMC зловмисники можуть дистанційно увімкнути або вимкнути сервер, перезавантажити його або змінити образ незалежно від стану основної операційної системи.
  • Зловмисники можуть витягувати облікові дані, збережені в системі, включаючи дані для віддаленого управління, і використовувати BMC як платформу для горизонтального переміщення в межах мережі.
  • BMC часто мають доступ до оперативної пам’яті системи та мережевих інтерфейсів, що дозволяє зловмисникам перехоплювати чутливі дані або ексфільтрувати інформацію без виявлення.
  • Маючи доступ до BMC, зловмисники можуть навмисно пошкодити прошивку, в результаті чого сервери стануть неможливими для запуску, що викличе значні операційні порушення.

Оскільки наразі немає публічно доступних відомостей про триваючі атаки, невідомо, які групи можуть стояти за цими діями. Eclypsium зазначила, що найімовірнішими винуватцями можуть бути шпигунські групи, які працюють на користь китайського уряду. Усі п’ять конкретних груп APT, названих Eclypsium, мають досвід експлуатації уразливостей у прошивці або отримування стійкого доступу до високовартісних цілей.

Eclypsium зазначила, що лінія вразливих пристроїв AMI MegaRAC використовує інтерфейс, відомий як Redfish. Виробники серверів, які використовують ці продукти, включають AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia та Qualcomm. Деякі з цих постачальників випустили патчі для своїх продуктів, але не всі.

З урахуванням можливих наслідків використання цієї уразливості адміністраторам слід перевірити всі BMC у своїх мережах, щоб упевнитися, що вони не є уразливими. У зв’язку із впливом продуктів багатьох виробників серверів адміністраторам рекомендується звертатися до свого постачальника, якщо у них виникають сумніви щодо вразливості їхніх мереж.