Una nueva vulnerabilidad crítica en el software MegaRAC Baseboard Management Controller (BMC) de American Megatrends International (AMI) puede permitir que los atacantes secuestren y potencialmente destruyan servidores vulnerables.
Detalles de la Vulnerabilidad ⚠️
El software MegaRAC BMC proporciona capacidades de gestión remota de sistemas, permitiendo a los administradores solucionar problemas en servidores como si estuvieran físicamente frente a los dispositivos.
Utilizado por numerosos proveedores de servidores, incluidos HPE, Asus y ASRock.
Los atacantes remotos no autenticados pueden explotar esta vulnerabilidad de máxima gravedad (seguimiento CVE-2024-54085) mediante ataques de baja complejidad que no requieren interacción del usuario.
Impacto de la Vulnerabilidad
- Control Remoto: Un atacante podría tomar control remoto del servidor comprometido.
- Malware y Ransomware: Los atacantes podrían desplegar malware o ransomware.
- Alteración de Firmware: La vulnerabilidad permite manipular el firmware, lo que podría llevar a la destrucción física del servidor (por ejemplo, sobrevoltaje o bloqueo de componentes como el BMC o BIOS/UEFI).
- Ciclos de Reinicio Infinito: El servidor podría quedar atrapado en un bucle de reinicios indefinidos.
Investigación y Exposición
Los investigadores de Eclypsium descubrieron esta vulnerabilidad al analizar los parches emitidos por AMI para una vulnerabilidad de bypass de autenticación previa (CVE-2023-34329), reportada en julio de 2023.
Dispositivos Vulnerables
Se ha confirmado que algunos dispositivos, como el HPE Cray XD670, Asus RS720A-E11-RS24U y ASRockRack, son vulnerables si no se aplican los parches. Se descubrió que más de 1,000 servidores están expuestos a ataques en línea.
Esta no es la primera vulnerabilidad encontrada en MegaRAC. Eclypsium ya había revelado otros fallos importantes en 2022 y 2023, que podrían ser utilizados para secuestrar o dañar servidores comprometidos.
Recomendaciones de Seguridad ️
Se recomienda a los administradores de redes aplicar los parches lanzados por AMI, Lenovo y HPE el 11 de marzo de 2025. Los investigadores aconsejan no exponer instancias de MegaRAC en línea y monitorear los registros de los servidores para detectar actividad sospechosa.
Debido a que AMI está en la cadena de suministro de BIOS, la vulnerabilidad afecta a más de una docena de fabricantes de dispositivos, lo que amplifica el riesgo.
Estado de la Vulnerabilidad ⚡
Aunque Eclypsium ha confirmado que esta vulnerabilidad no ha sido explotada aún en ataques reales, advirtieron que crear un exploit no sería difícil, dado que los binarios del firmware no están cifrados.