Kritieke kwetsbaarheid in BMC firmware van AMI treft servers van diverse fabrikanten

[Captain Kirk]

De baseboard management controller (BMC) firmware van AMI bevat een kritieke kwetsbaarheid die het mogelijk maakt toegang te krijgen tot servers door authenticatie te omzeilen. Het lek treft servers van diverse fabrikanten, waaronder Asus, Asrock, HPE en Lenovo. Het lek is door AMI gedicht, maar fabrikanten moeten deze patches zelf beschikbaar stellen aan klanten. Het lek (CVE-2024-54085) is ontdekt door Eclypsium, dat zich richt op de beveiliging van hardware zoals dus ook BMC. De BMC stelt beheerders in staat tot het op afstand monitoren en aansturen van apparaten. Zo kunnen zij onder meer firmware updaten en besturingssystemen installeren op systemen zonder fysieke toegang nodig te hebben. AMI is een grote speler op dit vlak; de BMC van AMI is verwerkt in apparaten van een groot aantal fabrikanten.

In 2023 ontdekte het bedrijf eveneens twee kwetsbaarheden in de BMC van AMI. Het nu ontdekte lek lijkt veel op een van de in 2023 ontdekte problemen: CVE-2023-34329. Het is onduidelijk of het om een volledig nieuwe kwetsbaarheid gaat, of dat het eerder ontdekte probleem niet volledig is verholpen.

 

Malware uitrollen, firmware aanpassen en fysieke schade aanrichten

De kwetsbaarheid treft de Redfish-managementinterface en maakt het mogelijk de authenticatie te omzeilen. Gezien de mogelijkheden die de BMC biedt is het lek dan ook kritiek; aanvallers kunnen onder meer malware op systemen uitrollen, de firmware aanpassen en door voltages aan te passen zelfs fysieke schade toebrengen aan het apparaat.

 

Een patch is inmiddels beschikbaar gesteld door AMI. OEM's moeten deze patch zelf beschikbaar stellen aan hun klanten. Zowel HPE als Lenovo hebben dit inmiddels gedaan.

 

bron: https://www.security.nl