Компанія Asus випустила патчі для вразливості CVE-2024-54085, яка дає змогу зловмисникам захоплювати і виводити з ладу сервери. Баг зачіпає програмне забезпечення MegaRAC Baseboard Management Controller (BMC) компанії American Megatrends International (AMI), яке використовується багатьма виробниками серверного обладнання, включно з Asus, HPE і ASRock.

Повідомляється, що проблему CVE-2024-54085 можна експлуатувати віддалено, що потенційно може призвести до зараження шкідливим ПЗ, внесення змін до прошивки та незворотних фізичних пошкоджень обладнання через подачу підвищеної напруги.

«Локальний або віддалений зловмисник може використати вразливість, отримавши доступ до інтерфейсів віддаленого управління (Redfish) або внутрішнього хосту до інтерфейсу BMC (Redfish), – пояснюють фахівці компанії Eclypsium, які знайшли баг. – Експлуатація цієї вразливості дає змогу зловмиснику віддалено контролювати зламаний сервер, встановлювати шкідливе ПЗ, програми-вимагачі, модифікувати прошивку, блокувати компоненти материнської плати (BMC або BIOS/UEFI), завдати фізичної шкоди серверу (підвищена напруга/«окирпичування»), а також провокувати нескінченні цикли перезавантаження, які жертва не зможе перервати».

Тільки цього тижня компанія Asus повідомила про випуск виправлень для CVE-2024-54085 для чотирьох моделей материнських плат.

Користувачам рекомендується встановити оновлення та оновити прошивку BMC до таких версій:

PRO WS W790E-SAGE SE – версія 1.1.57;
PRO WS W680M-ACE SE – версія 1.1.21;
PRO WS WRX90E-SAGE SE – версія 2.1.28;
PRO WS WRX80E-SAGE SE WIFI – версія 1.34.0.