ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), sunucu altyapılarını doğrudan etkileyen ve aktif olarak sömürülen kritik bir güvenlik açığına karşı yöneticileri uyardı. Uzmanlar, bu açığın veri merkezlerinde ciddi güvenlik ihlallerine yol açabileceğini belirtiyor.

AMI MegaRAC Açığı Saldırganlara Tüm Sunucuya Erişim Sağlıyor

CVE-2024-54085 koduyla takip edilen açık, sunucu anakartlarında yer alan Baseboard Management Controller (BMC) bileşenlerinde bulunuyor. Bu bileşenler, işletim sistemi çalışmasa veya sistem kapalı olsa bile sunucuların uzaktan yönetilmesini sağlıyor. Söz konusu açık, yalnızca bir HTTP isteğiyle kimlik doğrulama sürecini atlayarak yönetici hesabı oluşturulmasına olanak tanıyor.

Eclypsium tarafından keşfedilen ve mart ayında açıklanan açık, şimdiye kadar pasif kabul edilse de CISA’nın yaptığı son güncelleme ile tehditlerin aktif hâle geldiği doğrulandı. Güvenlik araştırmacıları, bu açıklığın çok sayıda sunucu üreticisinin ürünlerinde bulunduğunu ve hâlihazırda binlerce cihazın risk altında olduğunu söylüyor.

Saldırganlar bu açığı kullanarak yalnızca uzaktan erişim kazanmakla kalmıyor, aynı zamanda BMC yazılımına kötü amaçlı kod yerleştirme şansı da elde ediyor. Bu yöntem, güvenlik yazılımlarını atlatıyor ve işletim sistemi yeniden yüklense dahi saldırganların erişimini sürdürebiliyor. Üstelik bu erişimle sunucular yeniden başlatılabiliyor, kapatılabiliyor ya da tamamen formatlanabiliyor.

BMC’ler genellikle sistem belleğine ve ağ arayüzlerine erişebildiği için, saldırganlar bu açık sayesinde şifreleri toplayabiliyor, veri sızdırabiliyor ve diğer cihazlara da kolayca sıçrayabiliyor.

Eclypsium uzmanları, bu derece sofistike bir açığı kullanabilecek kapasitedeki grupların devlet destekli olması gerektiğini vurguluyor. Şirket, geçmişte benzer yöntemleri kullanan beş Çin merkezli APT grubunu olası failler arasında gösteriyor. Ancak şu ana dek saldırıların kaynağına dair net bir bilgi bulunmuyor.

Hangi Donanımlar Risk Altında?

Söz konusu açık, AMI MegaRAC ürünlerinde kullanılan Redfish tabanlı arayüz üzerinden çalışıyor. Bu yazılım; AMD, ASRock, Fujitsu, Gigabyte, Huawei, Nvidia, Qualcomm ve Supermicro gibi çok sayıda üreticinin donanımlarında yer alıyor. Bazı üreticiler güvenlik yamalarını yayınladı fakat tüm cihazlar için güncelleme yayımlanmış değil.

Uzmanlar, veri merkezlerindeki tüm sunucuların incelenmesini ve üreticilerden doğrudan destek alınmasını tavsiye ediyor. Zira BMC tabanlı saldırılar, standart güvenlik önlemlerini aşabildiği için siber savunma sistemlerinin yeniden yapılandırılması gerekebilir.