Asus исправляет ошибки безопасности, которые могли бы быть кирпичными серверами • Продвижение Web 2.0

American Megatrends International опубликовал решение для контроллера Megarac Baseboard Controller (BMC)
Разные OEM -производители в настоящее время реализуют фиксированные в своих продуктах
Asus выпустил патч для решения ошибки

Asus исправил ошибку безопасности, которая могла бы быть забита.

Ошибка осуществляется как CVE-2024-54085 и имеет максимальную ошибку серьезности 10/10. Как объяснила компания, она оказывает влияние на контроллер управления Megarac Megarac Megarac Megarends Megatrends (AMI) Megarac (BMC), который позволяет администрировать удаленное администрирование сервера за пределами тома или «зажигания».

С BMC администраторы могут контролировать, исправлять и управлять серверами, даже если они выключены.

Дистанционное управление

«Amis SPX содержит восприимчивость к безопасности в BMC, в которой злоумышленник может обойти аутентификацию через пульт интерфейса хоста Redfish», — говорит страница NVD CVE. «Успешная эксплуатация этой восприимчивости к безопасности может привести к потере конфиденциальности, целостности и/или доступности».

BMC используется «через дюжину» поставщиков оборудования сервера, таких как HPE, ASUS и ASROCK.

Исследователи безопасности из Eclypsium, который написал подробный отчет об ошибке, сказал, что он может подвергаться злоупотреблению инфекциями вредоносных программ и даже в атаках вымогателей:

«Использование этой восприимчивости к безопасности позволяет злоумышленнику управлять скомпрометированным сервером с расстояния, вредоносного ПО, вымогателей, манипуляций с прошивкой, компонентов Micking-Motherboard (BMC или потенциально Bios / uefi), потенциальные сервер-физические повреждения (перевышение / стена) и не предназначные абразионные абрации, которые не могут быть остановлены».

AMI опубликовала патч в середине марта, сказал это, но потребовалось время, чтобы OEM -производители были реализованы. Например, HPE выпустила бюллетень безопасности 20 марта, в котором восприимчивость к безопасности для серверных сделок HPE Cray XD670. Этот бюллетень также подтвердил, что восприимчивость к безопасности может быть использована издалека, чтобы обеспечить обход аутентификации. Кроме того, отчеты показывают, что HPE опубликовал обновления безопасности для ваших продуктов, которые интегрируют AMIS Fix для CVE-2024-54085.

ЧИТАТЬ RudderStack: легко реализуйте проекты по работе с данными с высокой рентабельностью инвестиций с помощью встроенного хранилища CDP | зона Мартех

Asus теперь обратился к ошибке на четырех материнских платах.

Пользователям рекомендуется обновить свою прошивку BMC для этих версий:

Pro WS W790E-Sage SE версия 1.1.57
Pro WS W680M-ACE SE версия 1.1.21
Pro WS WRX90E-SAGE SE версия 2.1.28
Pro WS WRX80E-SAGE SE WIFI Версия 1.34.0

Поскольку это максимальная ошибка, которая обеспечивает инфекции вымогателей, пользователям рекомендуется немедленно применить обновление.

Над Взорвать компьютер

Вы также могли бы понравиться

Source