ASUS(華碩) 近日發布安全更新解決 CVE-2024-54085 嚴重漏洞,該漏洞可能讓攻擊者劫持並潛在性地使伺服器無法使用。
這個漏洞影響美商安邁國際(American Megatrends International)的 MegaRAC 基板管理控制(BMC)軟體,該軟體被十多家伺服器硬體供應商使用,包括 HPE、ASUS 和 ASRock。
CVE-2024-54085 漏洞可遠端利用,可能導致惡意軟體感染、韌體修改,甚至通過過度電壓造成不可逆的實體損壞。
資安研究公司 Eclypsium 在相關報告中解釋:「攻擊者可透過遠端管理介面(Redfish)或從主機到 BMC 的內部介面來利用此漏洞。一旦成功利用,攻擊者能夠遠端控制伺服器、部署惡意軟體與勒索軟體、竄改韌體、損壞主機板組件(包括 BMC 或 BIOS/UEFI)、造成實體硬體損壞(過度電壓),甚至讓系統陷入受害者無法中斷的無限重啟循環。」
雖然 AMI 於 2025 年 3 月 11 日發布了公告和修補程式,但受影響的設備製造廠商需要時間在產品上實施這些修補程式。ASUS 宣布已為受此漏洞影響的四種主機板型號發布了 CVE-2024-54085 的修補程式。
建議用戶升級到 BMC 韌體版本如下:
- PRO WS W790E-SAGE SE – 版本 1.1.57
- PRO WS W680M-ACE SE – 版本 1.1.21
- PRO WS WRX90E-SAGE SE – 版本 2.1.28
- Pro WS WRX80E-SAGE SE WIFI – 版本 1.34.0
鑑於此漏洞的嚴重性以及可能遠端利用的特性,強烈建議盡快執行韌體更新。
資安專家提醒,此類基板管理控制器漏洞尤其值得關注,因為 BMC 在伺服器管理中擁有相當高的權限,若被攻擊者利用,可能導致整個伺服器基礎架構的安全風險。企業 IT 管理員應將此更新視為高優先級任務處理。
本文轉載自bleepingcomputer。