ASUS устранила уязвимость, с помощью которой хакеры могли вывести из строя серверы
Xeriss (unsplash)
Компания ASUS сообщила о выпуске патчей, устраняющих критическую брешь в безопасности, получившую обозначение CVE-2024-54085. Уязвимость, получившая наивысший уровень угрозы, открывала злоумышленникам возможность вмешательства в работу серверных систем и, в ряде случаев, приводила к их выводу из строя.
Как сообщили специалисты Eclypsium, проблема связана с программной платформой MegaRAC Baseboard Management Controller, разработанной American Megatrends International. Это программное обеспечение используется в продуктах более чем десяти производителей серверов, включая ASUS, HPE и ASRock.
По оценке экспертов, уязвимость могла быть использована для внедрения вредоносных компонентов, изменения встроенного программного обеспечения и даже нанесения непоправимого физического вреда оборудованию — речь идёт о случаях перенапряжения и последующего выхода из строя элементов материнской платы.
В Eclypsium отметили, что атака могла быть проведена как с удалённого устройства, так и с внутренней сети. Использование интерфейса Redfish, связанного с BMC, позволяло получить контроль над сервером, развёртывать программы-вымогатели, редактировать прошивку и организовывать бесконечные перезагрузки, которые невозможно остановить стандартными методами. При этом конечным результатом могла стать не только потеря данных, но и физическое повреждение самого устройства.
Несмотря на то что American Megatrends International выпустила свои рекомендации и сопутствующие обновления ещё 11 марта 2025 года, как подчеркнули в Eclypsium, производителям оборудования потребовалось время для адаптации и тестирования патчей в собственных системах.
Сегодня представители ASUS сообщили, что обновления с исправлением CVE-2024-54085 стали доступны для четырёх моделей материнских плат. В компании заверили, что установка патча критически важна для предотвращения возможных атак и последующего сбоя серверов.
