CVE-2024-54085 est une vulnérabilité critique exploitable via le réseau qui permet un contournement de l’authentification dans le Baseboard Management Controller (BMC) MegaRAC SPx d’AMI, via son interface Redfish Host. Classée avec un score CVSS de 10.0, elle a été incluse dans le catalogue des vulnérabilités exploitées connues (KEV) de la CISA et a déjà été observée « dans la nature » (in the wild), avec des preuves de concept (PoC) actives disponibles.
| Date | 26/06/2025 12:29:43 |
Résumé technique
La vulnérabilité découle du fait que le système se fie de manière erronée à l’en-tête HTTP X-Server-Addr pour déterminer si une requête Redfish est interne : un attaquant peut falsifier cet en-tête en le faisant correspondre à une adresse IP link-local du BMC (par exemple, 169.254.0.17:), induisant le système en erreur en lui faisant croire que la requête provient d’une source interne.
Une fois cette falsification effectuée, l’attaquant peut s’authentifier en tant qu’admin — permettant des actions via l’API telles que la création de comptes, des modifications du firmware, des redémarrages, l’exécution de logiciels malveillants, ou même des dommages physiques au matériel (via une surtension ou le blocage définitif du périphérique/brick).
Recommandations
Appliquer immédiatement le correctif : Installer la mise à jour du firmware fournie par AMI (par exemple, version
BKC_5.38ou ultérieure) pour MegaRAC SPx.Limiter l’accès à Redfish : Supprimer ou protéger par pare-feu les interfaces Redfish/BMC des réseaux généraux — idéalement en les plaçant dans un VLAN de gestion segmenté ou isolé (air-gapped).
Surveillance et alertes : Implémenter des signatures IDS/IPS (par exemple, ID FortiGuard pour les tentatives de spoofing BMC) et journaliser toutes les créations d’utilisateurs Redfish ou les anomalies dans les en-têtes.
Limiter la durée des comptes admin : Utiliser des comptes temporaires avec expiration automatique et supprimer par avance les comptes inutilisés.
[Callforaction-THREAT-Footer]
Leave a Reply