Компания Asus выпустила патчи для уязвимости CVE-2024-54085, которая позволяет злоумышленникам захватывать и выводить из строя серверы. Баг затрагивает программное обеспечение MegaRAC Baseboard Management Controller (BMC) компании American Megatrends International (AMI), которое используется многими производителями серверного оборудования, включая Asus, HPE и ASRock.
Сообщается, что проблему CVE-2024-54085 можно эксплуатировать удаленно, что потенциально может привести к заражению вредоносным ПО, внесению изменений в прошивку и необратимым физическим повреждениям оборудования из-за подачи повышенного напряжения.
«Локальный или удаленный злоумышленник может использовать уязвимость, получив доступ к интерфейсам удаленного управления (Redfish) или внутреннему хосту к интерфейсу BMC (Redfish), — объясняют специалисты компании Eclypsium, нашедшие баг. — Эксплуатация этой уязвимости позволяет злоумышленнику удаленно контролировать взломанный сервер, устанавливать вредоносное ПО, программы-вымогатели, модифицировать прошивку, блокировать компоненты материнской платы (BMC или BIOS/UEFI), причинить физический ущерб серверу (повышенное напряжение/«окирпичивание»), а также провоцировать бесконечные циклы перезагрузки, которые жертва не сможет прервать».
Хотя разработчики AMI подготовили исправления для этой проблемы еще 11 марта 2025 года, OEM-производителям потребовалось время, чтобы внедрить патчи в свои продукты.
Только на этой неделе компания Asus сообщила о выпуске исправлений для CVE-2024-54085 для четырех затронутых моделей материнских плат.
Пользователям рекомендуется установить обновления и обновить прошивку BMC до следующих версий:
- PRO WS W790E-SAGE SE — версия 1.1.57;
- PRO WS W680M-ACE SE — версия 1.1.21;
- PRO WS WRX90E-SAGE SE — версия 2.1.28;
- PRO WS WRX80E-SAGE SE WIFI — версия 1.34.0.
