Uzmanlar, binlerce sunucu üzerinde tam kontrol sağlama potansiyeli taşıyan, kritik derecede tehlikeli bir güvenlik açığının siber saldırganlar tarafından aktif olarak kullanıldığı konusunda uyarıyor. Bu sunucuların birçoğu veri merkezlerinde kritik görevleri yerine getiriyor.
Maksimum 10 üzerinden 10 olarak derecelendirilen bu güvenlik açığı, sunucu filolarının güç kapalıyken veya işletim sistemi çalışmıyorken bile uzaktan erişilip yönetilmesine olanak tanıyan yaygın bir firmware paketi olan AMI MegaRAC'ta bulunuyor. Anakartlara bağlı olan ve Temel Kart Yönetimi Denetleyicileri (BMC) olarak bilinen bu mikro denetleyiciler, veri merkezlerindeki sunucular üzerinde olağanüstü bir kontrol sağlıyor.
Yöneticiler, BMC'leri kullanarak işletim sistemlerini yeniden kurabilir, uygulamaları yükleyebilir veya değiştirebilir ve fiziksel olarak yerinde olmaksızın, çoğu durumda sunucular açık olmasa bile çok sayıda sunucuda yapılandırma değişiklikleri yapabilirler. Tek bir BMC'nin başarılı bir şekilde ele geçirilmesi, dahili ağlara sızmak ve diğer tüm BMC'leri tehlikeye atmak için kullanılabilir.
Kimlik Bilgilerine Gerek Yok!
CVE-2024-54085 olarak izlenen bu güvenlik açığı, savunmasız bir BMC cihazına HTTP üzerinden basit bir web isteği göndererek kimlik doğrulama atlamalarına olanak tanıyor. Güvenlik uzmanları tarafından keşfedilen bu açık, Mart ayında duyurulmuştu. Duyuru, uzaktan bir saldırganın herhangi bir kimlik doğrulaması sağlamadan yönetici hesabı oluşturmasına olanak tanıyan bir 'proof-of-concept' (kavram kanıtı) sömürü kodu da içeriyordu. Açığın duyurulduğu sırada aktif olarak sömürüldüğüne dair bilinen bir rapor yoktu.
Ancak, açık artık aktif olarak sömürülen güvenlik açıkları listesine eklendi. Yayınlanan uyarı, bu konuda daha fazla detay sağlamadı.
Güvenlik araştırmacıları, sömürünün kapsamının çok geniş olabileceğini belirtiyor. Potansiyel etkiler arasında şunlar yer alabilir:
- Sunucular üzerinde tam kontrol.
- Hassas verilere erişim.
- Sistemlerin işleyişinin engellenmesi veya değiştirilmesi.
- Kuruluşların genel güvenliğinin ciddi şekilde tehlikeye girmesi.
Devam eden saldırılar hakkında kamuya açık net detaylar olmasa da, uzmanlar en olası faillerin casusluk grupları olabileceğini düşünüyor. Bu tür grupların genellikle firmware güvenlik açıklarını sömürme veya yüksek değerli hedeflere kalıcı erişim sağlama geçmişleri bulunuyor.
Güvenlik açığının bulunduğu AMI MegaRAC cihaz serisinin Redfish adı verilen bir arayüz kullandığı belirtiliyor. Bu ürünleri kullanan sunucu üreticileri arasında AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro ve Qualcomm gibi önemli isimler yer alıyor. Bu üreticilerin bazıları, ancak hepsi değil, ürünleri için yamalar yayınladı.
Bu güvenlik açığının sömürülmesinden kaynaklanabilecek potansiyel hasar göz önüne alındığında, yöneticilerin sunucu filolarındaki tüm BMC'leri inceleyerek savunmasız olmadıklarından emin olmaları gerekiyor. Çok sayıda farklı sunucu üreticisinin ürünlerinin etkilenmesi nedeniyle, ağlarının risk altında olup olmadığından emin olamayan yöneticilerin kendi üreticileriyle iletişime geçmeleri önem taşıyor.
