近期,美国网络安全和基础设施安全局(CISA)发布重要安全警报,确认AMI MegaRAC基板管理控制器(BMC)软件存在一个最大严重性的漏洞(漏洞编号CVE-2024-54085)正在被黑客主动利用,导致服务器远程劫持和破坏风险加剧。该漏洞因其低复杂性、无需用户交互即可远程攻击,使得全球众多数据中心和云服务提供商面临严峻的安全挑战。AMI MegaRAC BMC固件为服务器管理提供了关键且便利的远程运维能力,允许管理员无需物理接触即可排查故障和执行维护操作。该固件广泛应用于惠普(HPE)、华硕(Asus)、华擎(ASRock)等多个知名制造商的服务器设备中,且深度嵌入服务器BIOS供应链,影响范围之广前所未有。Eclypsium安全公司首度披露了该漏洞的严重性,指出黑客通过绕过认证机制便可不经授权控制目标服务器,进而植入恶意软件、勒索软件,甚至篡改固件,导致主板组件如BMC、BIOS或UEFI遭到破坏。更极端的情况下,攻击者能够触发硬件物理损坏如过压,或令服务器进入无限重启循环,从而完全瘫痪目标设备,造成损失惨重。
该安全漏洞最初于去年与另一个AMI认证绕过问题(CVE-2023-34329)同时被发现,AMI厂商于今年三月发布补丁修复。遗憾的是,漏洞公开后短时间内,依然有超过一千台服务器连接至互联网时暴露于该漏洞风险之下,由于相关固件文件未加密,开发攻击工具并非技术难题。CISA已将CVE-2024-54085列入“已知被利用漏洞”目录,明确该漏洞正被恶意势力在野外实践利用。2011年11月生效的联邦民用执行部门绑定操作指令(BOD 22-01)要求所有联邦机构必须在规定时间内完成漏洞修补工作,截止日期为2025年7月16日。虽该政策只针对美国联邦机构,但CISA建议所有企业网络防御者立即优先修复补丁,以避免潜在重大安全事件。AMI MegaRAC漏洞的存在,再次暴露了服务器远程管理设备的安全风险,近年来此类基于BMC的攻击逐渐增多,攻击者可借助它们绕过传统防御,获得系统核心控制权。
鉴于BMC固件处于硬件和软件交接的关键管理层级,任何漏洞被攻破都可能带来灾难性后果。对企业而言,漏洞管理和设备固件的及时更新极为重要。同时应强化访问控制,限制BMC接口对未知网络的暴露,并实施多重身份认证机制以提升安全防御深度。此外,网络威胁监测和入侵检测系统需要适配针对BMC层面的攻击行为,实现早期预警。服务器供应链安全同样不可忽视。AMI作为BIOS及管理固件的核心供应商,其产品覆盖多家设备制造商,任何单点风险都可能通过复杂供应链效应波及更多下游厂商和最终用户。
多方合作协调补丁发布与漏洞通报流程,成为保障整体生态安全的关键。从更宏观角度看,该漏洞事件凸显出现代数据中心和云计算基础设施在依赖高度自动化运维工具时存在的潜在隐患。快速便捷远程管理功能赋能效率,同时也让攻击面扩大,对安全设计和防护提出更高要求。除了技术层面,组织还需建立完善的安全意识培训机制,提升相关运维人员对BMC等管理固件安全风险的认知,确保第一时间响应并落实安全加固。安全社区应持续跟踪该漏洞的攻击动态,分享最新攻击链信息及缓解方案。积极利用威胁情报平台与行业联盟同步协同防护,才能在日益复杂的网络安全环境中占据主动。
简而言之,AMI MegaRAC漏洞的曝光和被利用,彰显了服务器远程管理固件安全不可忽视的威胁,提醒全球数据中心运营商、云服务提供商乃至所有依赖服务器基础架构的机构必须高度重视相关安全风险。只有及时部署官方补丁,强化访问限制,同时综合应用多层安全手段,方能有效防止服务器被非法劫持,确保业务连续性和信息资产安全。面对持续演进的网络攻击,构建基于主动防御和风险管控的安全体系,是保障数字基础设施稳健运行的必由之路。
