10 de 10: CVE-2024-54085 incinera centros de datos mediante comando remoto

En el software MegaRAC Baseboard Management Controller (BMC), desarrollado por American Megatrends International (AMI), se ha descubierto una vulnerabilidad crítica que permite a los atacantes tomar el control de los servidores y potencialmente dejarlos fuera de servicio.

La plataforma MegaRAC BMC proporciona gestión remota de servidores, permitiendo a los administradores operar con el hardware incluso sin acceso físico. Esta tecnología se utiliza en productos de más de diez fabricantes de servidores, incluyendo HPE, Asus, ASRock y otras empresas que suministran soluciones para servicios en la nube y centros de datos.

La vulnerabilidad de seguridad, que ha recibido el nivel máximo de peligrosidad (10 de 10) y ha sido designada como CVE-2024-54085, puede ser explotada por atacantes remotos sin necesidad de autenticación o manipulaciones complejas. Según explicaron los investigadores de seguridad de Eclypsium, la vulnerabilidad está relacionada con el mecanismo de gestión remota Redfish, así como con la interfaz interna de interacción con BMC.

La explotación de la vulnerabilidad otorga a los atacantes control total sobre el servidor: pueden cargar software malicioso, modificar el firmware, iniciar ciclos de reinicio infinitos y, en algunos casos, incluso dañar los componentes de la placa base (BMC, BIOS/UEFI) o inutilizar el servidor mediante sobrecarga de voltaje.

Los especialistas de Eclypsium identificaron el problema al analizar las correcciones publicadas por AMI para CVE-2023-34329, otro fallo de autenticación descubierto en julio de 2023. Entre los dispositivos confirmados como vulnerables se encuentran HPE Cray XD670, Asus RS720A-E11-RS24U y ASRockRack, aunque es probable que el problema afecte a muchos más servidores y fabricantes.

Según el servicio Shodan, más de 1000 servidores vulnerables están conectados a Internet y son potencialmente susceptibles a ataques. Además, CVE-2024-54085 no es el único problema en MegaRAC BMC. Desde 2022, Eclypsium ha informado de varias otras vulnerabilidades graves, entre ellas CVE-2022-40259, CVE-2022-40242, CVE-2022-2827, CVE-2022-26872 y CVE-2022-40258. Estos fallos permiten tomar el control del BMC, modificar el firmware y propagar software malicioso.

En julio de 2023, los investigadores descubrieron otra vulnerabilidad peligrosa, CVE-2023-34330, relacionada con la posibilidad de inyección de código a través de la interfaz Redfish. Además, CVE-2022-40258, asociada con hashes de contraseñas débiles, hace que el hackeo de cuentas administrativas de BMC sea una tarea trivial.

Aunque hasta el momento no se han registrado ataques reales utilizando CVE-2024-54085, los expertos advierten que desarrollar un exploit no representa una gran dificultad, ya que los archivos binarios del firmware no están cifrados.

Los especialistas en seguridad recomiendan encarecidamente instalar de inmediato las actualizaciones publicadas el 11 de marzo por AMI, Lenovo y HPE, deshabilitar el acceso a Internet de MegaRAC BMC y monitorear cuidadosamente los registros del servidor en busca de actividades sospechosas.

Según Eclypsium, la vulnerabilidad afecta solo a la pila BMC de AMI, pero dado su uso extendido entre los fabricantes de hardware, la brecha impacta a decenas de soluciones para servidores. Dado que la actualización requiere una desconexión temporal de los servidores, el proceso de parcheo puede resultar complicado, pero posponerlo es extremadamente peligroso.