Xakerlar minglab serverlarni to‘liq nazorat qilish imkonini beruvchi kritik zaiflikni faol ravishda ekspluatatsiya qila boshlashdi. Bu serverlar orasida data-markazlarda muhim vazifalarni bajaradiganlari ham bor. Bu haqda AQShning Kiberxavfsizlik va Infratuzilmani Xavfsizligini Ta’minlash Agentligi (CISA) ogohlantirdi.
Muammo AMI MegaRAC deb ataluvchi mikrodasturiy ta’minotda aniqlangan. Bu dastur ko‘plab serverlarni masofadan boshqarish uchun ishlatiladi. U ona platalardagi maxsus mikrokontrollerlarga – BMC (Baseboard Management Controller) sifatida tanilgan boshqaruv modullariga o‘rnatilgan. Bunday kontrollerlar orqali administratorlar hatto operatsion tizim ishlamayotganida yoki server elektr tarmog‘idan uzilganida ham amaliyotlarni bajarishlari mumkin.
Shunday kontrollerlar yordamida OS’ni qayta o‘rnatish, konfiguratsiyalarni o‘zgartirish, ilovalarni ishga tushirish mumkin – buning uchun serverga jismoniy kirish shart emas. Infratuzilmadagi ichki tarmoqqa va boshqa qurilmalarga kirish uchun atigi bitta kontrollerni buzish kifoya.
Mazkur zaiflik CVE-2024-54085 identifikatori ostida ro‘yxatga olingan va xavflilik darajasi eng yuqori – 10 balldan 10 sifatida baholangan. Zaiflikning mohiyati shundaki, xaker maxsus tayyorlangan HTTP-so‘rov yuborish orqali autentifikatsiyani chetlab o‘tadi va to‘liq boshqaruv huquqini qo‘lga kiritadi. Bu haqda Eclypsium kompaniyasi mart oyidayoq xabar qilgan va real ishlaydigan eksploytni taqdim etgan. O‘shanda hali amaliy hujumlar qayd etilmagan edi.
26-iyun kuni CISA ushbu zaiflikni rasmiy ekspluatatsiya qilinayotgan tahdidlar ro‘yxatiga kiritdi. Bu esa haqiqiy hujumlar boshlanganidan dalolat beradi. Agentlik voqea tafsilotlarini oshkor etmadi, biroq Eclypsium mutaxassislarining fikricha, tahdidning ko‘lami jiddiy bo‘lishi mumkin.
Ularning ta’kidlashicha, bir nechta zaiflik zanjiri orqali hujumchilar zararli kodni bevosita BMC’ning ichki mikrodasturiga joylashtirishi mumkin. Bu hujumni deyarli ko‘rinmas qiladi va zararli dastur hatto operatsion tizim qayta o‘rnatilganda yoki disklar almashtirilganda ham o‘chmaydi. Bunday hujumlar antiviruslarni va monitoring tizimlarini chetlab o‘tadi, shuningdek serverni masofadan yoqish, o‘chirish yoki qayta yuklash imkonini ham beradi.
Shuningdek, administratorlarning hisob ma’lumotlarini o‘g‘irlash, serverni ichki tarmoqqa kirish nuqtasi sifatida ishlatish va hatto mikrodasturiy ta’minotni buzib, qurilmani ishlamay qolishga olib kelish ham mumkin. Shu sababli tahdid korporativ va bulutli infratuzilmalar uchun ayniqsa xavfli hisoblanadi.
Tadqiqotchilar ushbu hujumlar ortida Xitoyning kiberjosuslik guruhlari turishi mumkin deb hisoblashmoqda. Ular odatda mikrodastur zaifliklarini ekspluatatsiya qilish bo‘yicha tajribaga ega. Zaiflikdan zarar ko‘rgan ehtimoliy ishlab chiqaruvchilar orasida AMD, Ampere, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro va Qualcomm ko‘rsatilgan. Ularning ba’zilari allaqachon yangilanish chiqargan bo‘lsa-da, hammasi emas.
Mutaxassislar barcha administratorlarga infratuzilmalaridagi BMC qurilmalarini tekshirishni tavsiya qilishmoqda. Ko‘plab ishlab chiqaruvchilar ta’sirlangani bois, zaiflik bor-yo‘qligini aniqlash uchun to‘g‘ridan-to‘g‘ri o‘sha qurilma yetkazib beruvchisiga murojaat qilish eng to‘g‘ri yo‘l bo‘ladi.
