CVE-2024-54085 ist eine kritische, über das Netzwerk ausnutzbare Schwachstelle, die eine Umgehung der Authentifizierung im AMI MegaRAC SPx Baseboard Management Controller (BMC) über dessen Redfish-Host-Schnittstelle ermöglicht. Sie wurde mit einem CVSS-Wert von 10,0 bewertet, in den Katalog der bekannten ausgenutzten Schwachstellen (KEV) der CISA aufgenommen und bereits „in the wild“ beobachtet, wobei aktive Proof-of-Concept-Exploits verfügbar sind.
| Datum | 26.06.2025 12:29:43 |
Technische Zusammenfassung
Die Schwachstelle beruht darauf, dass das System fälschlicherweise dem HTTP-Header X-Server-Addr vertraut, um festzustellen, ob eine Redfish-Anfrage intern ist: Ein Angreifer kann diesen Header fälschen und ihn mit einer Link-Local-IP des BMC (z. B. 169.254.0.17:) abgleichen, wodurch das System dazu verleitet wird, die Anfrage als aus einer internen Quelle stammend zu betrachten.
Sobald dies gefälscht ist, kann sich der Angreifer als admin authentifizieren – was API-Aktionen wie das Erstellen von Konten, Firmware-Änderungen, Neustarts, die Ausführung von Malware oder sogar physische Schäden an der Hardware (durch Überspannung oder das „Bricken“ des Geräts) ermöglicht.
Empfehlungen
Patch sofort anwenden: Installieren Sie das von AMI bereitgestellte Firmware-Update (z. B. Version
BKC_5.38oder höher) für MegaRAC SPx.Zugriff auf Redfish einschränken: Entfernen Sie Redfish/BMC-Schnittstellen aus allgemeinen Netzwerken oder schützen Sie diese durch Firewalls – idealerweise durch Platzierung in einem segmentierten oder isolierten (Air-Gapped) Management-VLAN.
Überwachung und Alarmierung: Implementieren Sie IDS/IPS-Signaturen (z. B. FortiGuard-IDs für BMC-Spoofing-Versuche) und protokollieren Sie alle Erstellungen von Redfish-Benutzern sowie Anomalien in den Headern.
Laufzeit von Admin-Konten begrenzen: Verwenden Sie temporäre Konten mit automatischer Ablaufzeit und entfernen Sie ungenutzte Konten frühzeitig.
[Callforaction-THREAT-Footer]
Leave a Reply