تم الكشف عن ثغرة أمنية خطيرة في برنامج MegaRAC Baseboard Management Controller (BMC) التابع لشركة AMI، والتي تتيح للمهاجمين تجاوز المصادقة وتنفيذ هجمات ما بعد الاستغلال.
تفاصيل الثغرة الأمنية (CVE-2024-54085)
تم تعقب الثغرة الأمنية تحت المعرف CVE-2024-54085، وحصلت على درجة 10.0 وفقًا لنظام CVSS v4، مما يشير إلى أقصى مستوى من الخطورة.
وفقًا لتقرير صادر عن شركة Eclypsium المختصة بأمن البرمجيات الثابتة، فإن المهاجم يمكنه استغلال الثغرة الأمنية عبر واجهات الإدارة عن بُعد (Redfish) أو الوصول الداخلي إلى واجهة BMC، مما يسمح له بما يلي:
- التحكم الكامل عن بُعد بالخادم المخترق
- نشر برمجيات ضارة مثل الفيروسات وبرامج الفدية
- التلاعب بالبرمجيات الثابتة (Firmware) أو إتلاف مكونات اللوحة الأم (BMC أو BIOS/UEFI)
- التسبب في أعطال مادية للخادم مثل زيادة الجهد الكهربائي أو تعطيله نهائيًا
- إدخال الأجهزة في حلقات إعادة تشغيل مستمرة، مما يؤدي إلى تعطل الخدمة إلى أجل غير مسمى
الثغرة قد تُستخدم في هجمات تخريبية
يمكن استغلال هذه الثغرة لشن هجمات تعطيلية واسعة النطاق، حيث يتم إرسال أوامر ضارة تؤدي إلى إعادة تشغيل مستمرة للأجهزة المصابة، مما يؤدي إلى تعطيل الخدمات حتى يتم إعادة تهيئة الأجهزة بالكامل.
سجل الثغرات الأمنية السابقة في MegaRAC BMC
تعد CVE-2024-54085 أحدث إضافة إلى سلسلة من الثغرات الأمنية المكتشفة في MegaRAC BMC منذ ديسمبر 2022، والتي تم تتبعها تحت اسم BMC&C، ومنها:
- CVE-2022-40259 – تنفيذ تعليمات برمجية عشوائية عبر Redfish API
- CVE-2022-40242 – بيانات اعتماد افتراضية تتيح الوصول إلى UID = 0 عبر SSH
- CVE-2022-2827 – استغلال API لاستكشاف حسابات المستخدمين
- CVE-2022-26872 – اعتراض عمليات إعادة تعيين كلمات المرور عبر API
- CVE-2022-40258 – استخدام تجزئات ضعيفة لكلمات المرور في Redfish & API
- CVE-2023-34329 – تجاوز المصادقة عبر تزوير ترويسات HTTP
- CVE-2023-34330 – حقن التعليمات البرمجية عبر واجهة Redfish الديناميكية
لاحظت شركة Eclypsium أن الثغرة CVE-2024-54085 تشبه CVE-2023-34329 من حيث إمكانية تجاوز المصادقة، وتأثيرها الخطير على الأنظمة.
الأجهزة المتأثرة بالثغرة
تم تأكيد تأثر الأجهزة التالية بالثغرة الأمنية:
- HPE Cray XD670
- Asus RS720A-E11-RS24U
- ASRockRack
إصدار تصحيحات الأمان
أصدرت AMI تصحيحات أمنية لسد الثغرة الأمنية في 11 مارس 2025. وعلى الرغم من عدم وجود أدلة على استغلالها حتى الآن، يُوصى جميع المستخدمين بتنفيذ التحديثات فور توفرها من قبل الشركات المصنعة للمعدات الأصلية (OEMs).
تحديات التحديث وتأثيره على الشركات
أكدت Eclypsium أن تحديث هذه الثغرات الأمنية عملية معقدة تتطلب توقف الأجهزة عن العمل مؤقتًا. وعلى الرغم من أن الثغرة تؤثر فقط على برمجيات BMC الخاصة بـ AMI، إلا أن تأثيرها يمتد إلى أكثر من 12 شركة مصنّعة تعتمد على برمجيات AMI في سلاسل التوريد الخاصة بها.
لذا، يُوصى المسؤولون عن أمن المعلومات باتخاذ الإجراءات اللازمة فورًا لحماية البنية التحتية للخوادم من هذه الثغرة الخطيرة.
