CISA將AMI的BMC韌體滿分漏洞列入KEV

本週美國網路安全暨基礎設施安全局（CISA）將3項資安弱點納入已遭利用的漏洞名單（KEV），並要求聯邦機構於7月16日完成修補，其中，最受到關注的是風險值達到滿分的CVE-2024-54085。

這項漏洞最早在今年3月由資安業者Eclypsium揭露，存在於American Megatrends（AMI）基板管理控制器（BMC）系統MegaRAC，一旦攻擊者成功利用，就有機會遠端控制伺服器，造成主機板BMC或UEFI元件損壞，甚至無限循環地重開機，而且，該漏洞的影響範圍並非單一伺服器，攻擊者可透過資料中心環境發送惡意命令，導致所有伺服器集體受害。

而對於漏洞的影響範圍，當時研究人員提及影響華碩、永擎電子（ASRock Rack）、HPE部分型號的主機板，其中4月下旬華碩對於4款工作站主機板發布新版韌體，修補這項漏洞。

究竟這項漏洞如何遭到利用，CISA並未進一步說明，有待後續研究人員公布相關調查結果。

另外兩項被列入KEV的漏洞，分別是：D-Link路由器DIR-859路徑穿越漏洞CVE-2024-0769，以及Fortinet防火牆作業系統寫死密碼漏洞CVE-2019-6693，風險值為5.3、4.2。