CVE-2024-54085 con CVSS 10: AMI BMC a rischio di compromissione remota

Di recente, nel software MegaRAC BMC (Baseboard Management Controller) di American Megatrends International (AMI) è stata identificata la falla di sicurezza CVE-2024-54085, valutata con il punteggio di rischio CVSS 10, il più elevato possibile. Questa vulnerabilità consente agli aggressori di bypassare i meccanismi di autenticazione e accedere ai sistemi vulnerabili. Considerando il ruolo predominante di AMI nella supply chain delle schede madri, numerosi fornitori hardware di rilievo potrebbero essere coinvolti. Oltre a una dichiarazione tecnica, è disponibile un Proof-of-Concept (PoC) dettagliata, il che indica che la vulnerabilità non è più solo un rischio teorico.

Utilizzando il Proof of Concept (PoC) disponibile, gli aggressori possono creare un account di servizio sulla console di gestione Redfish, ottenendo così accesso non autenticato a tutte le funzionalità remote di BMC. L’exploit è stato verificato su dispositivi come HPE Cray XD670, Asus RS720A-E11-RS24U e ASRockRack. Sebbene questa CVE sia stata pubblicata nel 2025, l’ID (CVE-2024-54085) è stato probabilmente riservato già nel 2024.

La CVE-2024-54085 permette agli aggressori di:

• compromettere il server, assumerne il controllo totale e gestirlo da remoto
• installare software malevolo, inclusi ransomware​
• modificare il firmware
• rendere inutilizzabili componenti della scheda madre (BMC o anche BIOS/UEFI) ​
• causare danni hardware, ad esempio sovratensioni
• indurre il server in cicli di riavvio continui, causando interruzioni prolungate del servizio (DoS).

Greenbone è in grado di individuare un server colpito attraverso test di vulnerabilità remoti che rilevano attivamente BMC esposti.

Impatto potenziale

L’interfaccia Redfish, utilizzata nel MegaRAC BMC di AMI, è una delle numerose soluzioni BMC che supportano la gestione remota dei server. Lo standard Redfish si è affermato nel mercato dei server aziendali come sostituto moderno di interfacce di gestione obsolete come l’IPMI. La vulnerabilità ha un impatto significativo su tutti i prodotti che utilizzano AMI MegaRAC, inclusi dispositivi OT, IoT e IT.  In passato, vulnerabilità simili in MegaRAC hanno interessato prodotti di numerosi produttori, tra cui Asus, Dell, Gigabyte, Hewlett Packard Enterprise (HPE), Lanner, Lenovo, NVIDIA e Tyan. AMI ha rilasciato patch per questa vulnerabilità l’11 marzo 2025. HPE e Lenovo hanno già distribuito aggiornamenti per i loro prodotti interessati.

Aspetti tecnici di CVE-2024-54085

La vulnerabilità CVE-2024-54085 è un difetto critico individuato nello stack firmware SPx (Service Processor) di AMI, componente chiave della soluzione MegaRAC BMC. I BMC (Baseboard Management Controller) sono microcontroller integrati nelle schede madri dei server che permettono la gestione e il monitoraggio remoto, anche quando il sistema è spento o non risponde.

La CVE-2024-54085 è classificata come “bypass dell’autenticazione tramite spoofing” [CWE-290]. Questo tipo di vulnerabilità si verifica quando un sistema utilizza informazioni facilmente falsificabili, come l’indirizzo IP del client, per autenticare le richieste. Sebbene la raccomandazione di AMI fornisca pochi dettagli, i ricercatori di Eclypsium, ai quali è attribuita la scoperta, hanno pubblicato un articolo dettagliato che ne spiega le cause. La vulnerabilità CVE-2024-54085 deriva dall’utilizzo dell’indirizzo IP come metodo di autenticazione. Nello specifico, la logica di controllo degli accessi basata su Lua nell’interfaccia Redfish utilizza le intestazioni HTTP, come X-Server-Addr o Host, per determinare se una richiesta HTTP è interna o esterna; le richieste interne vengono automaticamente considerate autenticate.

Nei sistemi BMC come MegaRAC, “l’interfaccia host” rappresenta la connessione, sia fisica che logica, tra il BMC e il server principale (l’host). Questa connessione può essere paragonata all’interfaccia di loopback (spesso denominata lo), comunemente associata all’indirizzo IP 127.0.0.1 e al nome host localhost. Nel contesto di MegaRAC, all’interfaccia che collega il chip BMC all’host viene assegnato un indirizzo IP dalla gamma Link-Local, specificamente nell’intervallo 169.254.0.0 fino a 169.254.255.255). Inoltre, questo indirizzo IP è incluso in un elenco di indirizzi considerati attendibili durante il processo di autenticazione HTTP di MegaRAC; pertanto, un attaccante che riesca a falsificare questo indirizzo può eludere l’autenticazione. Attraverso reverse engineering del firmware MegaRAC, i ricercatori hanno identificato che l’indirizzo Link-Local 169.254.0.17 viene utilizzato su più chip BMC.

L’errore è dovuto all’implementazione di un’espressione regolare che estrae il testo dall’intestazione HTTP X-Server-Addr fino al primo due punti e verifica se corrisponde agli indirizzi IP attendibili memorizzati in un database Redis. I chip BMC utilizzano Lighttpd come server web incorporato, che aggiunge automaticamente un’intestazione X-Server-Addr con l’indirizzo IP dell’istanza Redfish. Se una richiesta include già l’intestazione fornita dal client, Lighttpd concatena il proprio valore a quello ricevuto. Questo permette a un attaccante di inviare un’intestazione appositamente modificata, manipolando così il valore estratto dall’espressione regolare. Fornendo un valore X-Server-Addr corrispondente all’indirizzo Link-Local del sistema host seguito da due punti (ad esempio, 169.254.0.17:), un malintenzionato può indurre il BMC a interpretare la richiesta come proveniente dall’interfaccia host interna, bypassando completamente l’autenticazione.

Una volta bypassata l’autenticazione, il resto della richiesta HTTP viene elaborato normalmente, consentendo all’attaccante di eseguire qualsiasi azione API disponibile. Ciò include la creazione di account con privilegi elevati, ottenendo il controllo remoto completo del BMC del server e l’accesso alla sua interfaccia web di amministrazione.

Strategie per mitigare la CVE-2024-54085

Le aziende devono monitorare attentamente le indicazioni dei propri fornitori di hardware e applicare tempestivamente gli aggiornamenti firmware non appena resi disponibili. Come misura temporanea, è consigliabile consultare i manuali dei dispositivi per verificare la possibilità di disattivare l’interfaccia Redfish quando non è in uso. Poiché i BMC rimangono operativi anche quando il server principale è spento, i sistemi interessati devono essere considerati permanentemente a rischio fino all’applicazione della patch firmware, a meno che Redfish non venga disabilitato o il sistema sia isolato dalla rete (air-gap). I responsabili di sicurezza possono sviluppare regole specifiche per firewall o sistemi di prevenzione delle intrusioni (IPS) al fine di bloccare tentativi di sfruttare questa vulnerabilità e di proteggere le interfacce di gestione BMC vulnerabili.

Poiché l’errore risiede in un firmware proprietario incorporato, l’applicazione delle patch risulta più complessa rispetto agli aggiornamenti di routine del sistema operativo o delle applicazioni. A differenza del software tradizionale, il firmware BMC risiede su un chip dedicato della scheda madre. Pertanto, l’aggiornamento del firmware BMC richiede l’uso di un’utilità software speciale fornita dal produttore del dispositivo per “flashare” il firmware aggiornato. Questo processo può causare periodi di inattività, poiché gli amministratori potrebbero dover avviare il sistema in un ambiente speciale e riavviarlo al termine dell’aggiornamento del firmware.

Per riassumere

La vulnerabilità CVE-2024-54085 rappresenta un rischio significativo per l’infrastruttura aziendale, poiché consente il controllo remoto non autenticato di server prodotti da importanti fornitori come HPE e Lenovo. Data la diffusione del software MegaRAC di AMI nei data center, lo sfruttamento di questa falla potrebbe causare guasti estesi, hardware inutilizzabile o periodi di inattività prolungati. È quindi essenziale riconoscere immediatamente questa minaccia e applicare le patch firmware fornite dai produttori per tutti i sistemi interessati.

Greenbone è in grado di individuare un server colpito attraverso test di vulnerabilità remoti che rilevano attivamente BMC che possono essere colpiti.