美國網路安全暨基礎設施安全局(CISA)近日宣布將三個已遭到實際攻擊利用的安全漏洞新增至已知被利用漏洞(KEV)目錄中,分別影響AMI MegaRAC、D-Link DIR-859路由器以及Fortinet FortiOS系統。
三大漏洞
- CVE-2024-54085(CVSS評分:10.0): 這是AMI MegaRAC SPx基板管理控制器(BMC)軟體中的認證繞過漏洞,攻擊者可透過偽造方式遠端取得系統完全控制權。該漏洞被評為最高嚴重等級,影響範圍包括HPE、華碩、ASRock等多家廠商的伺服器設備。
- CVE-2024-0769(CVSS評分:5.3): D-Link DIR-859路由器的路徑遍歷漏洞,可讓攻擊者進行權限提升並取得未授權控制。值得注意的是,該型號路由器已於2020年12月停止支援,漏洞將不會修補,用戶應立即汰換設備。
- CVE-2019-6693(CVSS評分:4.2): Fortinet FortiOS、FortiManager和FortiAnalyzer中的硬編碼加密金鑰漏洞,攻擊者若取得CLI配置檔案存取權限,即可解密敏感密碼資料。
根據韌體安全公司Eclypsium的研究,CVE-2024-54085漏洞可被用於執行多種惡意行為,包括部署惡意軟體、勒索軟體、韌體篡改,甚至造成主機板元件損壞或使伺服器陷入無限重啟循環。
今年三月AMI發布安全更新時,Eclypsium公司發現超過1,000台伺服器暴露在網路上可能遭受攻擊。由於MegaRAC BMC韌體二進位檔案未加密,開發攻擊程式「並非困難」。MegaRAC BMC韌體提供遠端系統管理功能,允許管理員在不需要實體接觸伺服器的情況下進行故障排除,這使得它成為雲端服務供應商和資料中心的重要工具。
CISA特別強調,CVE-2024-54085這類漏洞是惡意網路行為者的常見攻擊載體。雖然目前沒有關於如何在野外利用此漏洞的詳細資訊,也不清楚攻擊者身份和攻擊規模,但其最高嚴重等級和廣泛的影響範圍使其成為需要立即關注的重大安全威脅。
威脅情報公司GreyNoise在一年前就發現CVE-2024-0769遭到利用,攻擊者透過此漏洞竊取設備所有使用者的帳號名稱、密碼、群組和描述資訊。
至於CVE-2019-6693,多家資安廠商回報指出,與Akira勒索軟體相關的威脅行為者已利用此漏洞作為初始存取目標網路的手段。
對於使用相關設備的企業和組織,應立即檢查系統是否受到影響,並儘快套用廠商提供的安全更新。特別是使用D-Link DIR-859路由器的用戶,由於設備已停止支援,建議立即更換為新型號設備。