ASUS, saldırganların kaçmasına ve potansiyel olarak tuğla sunuculara izin verebilecek maksimum bir şiddet kusuru olan CVE-2024-54085’i ele almak için güvenlik güncellemeleri yayınladı.
Kusur, HPE, ASUS ve ASROCK dahil bir düzineden fazla sunucu donanım satıcısı tarafından kullanılan American Megatrends International’ın Megarac süpürgelik yönetim denetleyicisi (BMC) yazılımını etkiler.
CVE-2024-54085 Kusur, uzaktan kullanılabilir, potansiyel olarak kötü amaçlı yazılım enfeksiyonlarına, ürün yazılımı modifikasyonlarına ve aşırı voltaj yoluyla geri döndürülemez fiziksel hasara yol açar.
İlgili bir raporda Eclypsium, “Yerel veya uzak bir saldırgan, uzaktan yönetim arayüzlerine (Redfish) veya dahili ana bilgisayara BMC arayüzüne (Redfish) erişerek güvenlik açığından yararlanabilir.”
“Bu güvenlik açığının kullanılması, bir saldırganın uzlaşmış sunucuyu uzaktan kontrol etmesini, kötü amaçlı yazılım, fidye yazılımı, ürün yazılımı kurcalama, tuğla anakart bileşenleri (BMC veya potansiyel olarak bios / uefi), potansiyel sunucu fiziksel hasarı (aşırı voltaj / tuvalet) ve bir kurbanın durduramayacağı” sağlar.
AMI, 11 Mart 2025’te yamalarla birlikte bir bülten yayınlasa da, etkilenen OEM’lerin ürünlerine düzeltmeleri uygulaması için zaman gerekiyordu.
Bugün Asus, hatadan etkilenen dört anakart modeli için CVE-2024-54085 için düzeltmeler yayınladıklarını açıkladı.
Güncellemeler ve önerilen BMC ürün yazılımı sürümü kullanıcıların yükseltmesi gereken:
Güvenlik açığının şiddeti ve uzaktan sömürü gerçekleştirme yeteneği göz önüne alındığında, ürün yazılımı güncellemesini mümkün olan en kısa sürede gerçekleştirmek çok önemlidir.
En son BMC ürün yazılımı güncellemesini (.ima dosyası) indirdikten sonra, Web Arabirimi> Bakım> Ürün Yazılımı Güncellemesi’nden uygulayabilir, dosyayı seçebilir ve ‘Firmware Update’i başlatabilirsiniz. Ayrıca ‘tam flaş’ seçeneğini kontrol etmeniz önerilir.
MBC ürün yazılımı güncellemelerinin güvenli bir şekilde nasıl yapılacağı ve sorun giderme konusunda ayrıntılı talimatlar için ASUS SSS’yi buradan kontrol edin.