10 из 10: Хакеры получили способ создать учётную запись администратора на сервере без пароля — и теперь проникают даже в выключенные системы

Хакеры начали активно использовать критическую уязвимость , которая позволяет им получить полный контроль над тысячами серверов, включая те, что выполняют ключевые задачи в дата-центрах. Об этом предупреждает Агентство по кибербезопасности и инфраструктурной безопасности США.

Проблема обнаружена в прошивке AMI MegaRAC , которая используется для удалённого управления большими парками серверов. Эта прошивка встроена в микроконтроллеры на материнских платах, известные как контроллеры управления базовой платой. Они позволяют администраторам выполнять операции даже в случаях, когда операционная система не работает или питание отключено.

Через такие контроллеры можно переустанавливать операционные системы, менять конфигурации и запускать приложения без физического доступа к серверу. Достаточно скомпрометировать всего один контроллер, чтобы получить доступ к внутренней сети и остальным устройствам в инфраструктуре.

Уязвимость получила идентификатор CVE-2024-54085 и максимальную оценку опасности — 10 из 10. Её суть в том, что злоумышленник может обойти аутентификацию, просто отправив специальный HTTP-запрос к уязвимому устройству. Уязвимость обнаружила компания Eclypsium и сообщила о ней ещё в марте, приложив рабочий эксплойт, с помощью которого можно создать учётную запись администратора без пароля. На тот момент о реальных атаках известно не было.

26 июня уязвимость была включена в официальный список эксплуатируемых CISA, что свидетельствует о начале реальных атак. Подробностей о происходящем в агентстве не раскрыли, но в Eclypsium считают, что масштабы могут быть серьёзными.

По их словам, при помощи цепочек уязвимостей злоумышленники могут внедрить вредоносный код прямо в прошивку BMC. Это делает атаку практически незаметной, а вредонос способен пережить даже переустановку системы или замену дисков. Такие атаки обходят антивирусы и системы мониторинга, а также позволяют удалённо включать, выключать или перезапускать сервер независимо от состояния ОС.

Также возможна кража учётных данных, использование сервера в качестве точки входа в остальную сеть и даже повреждение прошивки с целью выведения оборудования из строя. Всё это делает угрозу особенно серьёзной для корпоративных и облачных инфраструктур.

Исследователи полагают, что за атаками могут стоять китайские кибершпионские группы , известные своей работой с уязвимостями прошивок. В списке потенциальных производителей уязвимого оборудования указаны AMD, Ampere, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro и Qualcomm. Некоторые из них уже выпустили обновления, но далеко не все.

Специалисты советуют администраторам проверить все устройства с BMC в своих инфраструктурах. Из-за большого числа затронутых производителей лучше всего обратиться напрямую к вендору, если остаются сомнения по поводу уязвимости.