近年来,服务器安全的问题不断受到关注,尤其是在云计算和大数据迅猛发展的背景下,服务器成为承载大量重要数据和关键应用的核心平台。近日,美国网络安全与基础设施安全局(CISA)发布警告,一项严重漏洞正在被黑客积极利用,可能导致攻击者对数以千计的服务器实现几乎完全的远程控制。这一漏洞存在于广泛应用于AMD、ARM、富士通、高伟达等多个知名服务器品牌的AMI MegaRAC固件中,这种固件通常用来实现远程管理功能。AMI MegaRAC固件附着于服务器主板上的基本板管理控制器(BMC),使得管理员能够在服务器关机或操作系统无法工作时仍然远程控制服务器的运行状态和配置。BMC管理器的这种能力在数以万计的服务器管理中发挥着关键作用,但也成为攻击者利用的重大安全隐患。安全研究公司Eclypsium率先发现了该漏洞,编号为CVE-2024-54085,其严重度被评为满分10分。
在技术上,该漏洞允许攻击者通过简单的HTTP请求绕过BMC的认证机制,成功创建管理员账户,进而能够控制服务器。更令人担忧的是,攻击者甚至不需要提供任何有效认证,凭借公开的漏洞利用代码即能实现攻击。起初,虽然该漏洞在2024年3月公开披露时尚无证据表明被实际利用,但最新情报显示,CISA已经确认该漏洞正在野外被利用,威胁真实存在且持续增长。该漏洞带来的危险远远超出单台服务器的风险。只要攻击者成功侵入一台服务器的BMC,就可以作为跳板,横向渗透至内网其他BMC设备,实现对整个网络服务器集群的深入掌控。更为严重的是,攻击者能够植入恶意固件代码,伪装成正常固件,难以被传统的安全检测工具发现。
这种攻击不仅能在操作系统重新安装或硬盘更换后依然存活,还能绕过常见的端点保护、日志记录等安全设施,极大提升了攻击的隐蔽性与持久性。通过BMC获得控制权之后,攻击者几乎可以随意操作服务器,包括远程开关机、重启服务器或者重新映像系统,从而对业务连续性产生巨大影响。由于BMC能接触到系统内存和网络接口,攻击者有机会窃取存储的各种凭证信息,监听和窃取网络数据,进行信息的非法外泄,带来重大的商业和隐私损失。此外,攻击者还可以选择性破坏固件,导致服务器无法正常启动,给企业运营带来灾难性的中断。鉴于受影响产品覆盖范围极广,包括AMD、Ampere Computing、ASRock、ARM、富士通、技嘉、华为、NVIDIA和高通等知名厂商生产的服务器设备,多厂商的产品均包含易受攻击的AMI MegaRAC固件。因此,全球范围内数百万服务器都可能面临风险,防御挑战十分严峻。
关于攻击方,安全研究人员推测,极有可能是代表中国政府的间谍团体在幕后操控。他们具备丰富的固件攻击经验,能够针对高价值目标实现持久访问,体现出高度的专业性和组织化。为了有效防范这一威胁,服务器管理员必须对所管理服务器的BMC设备进行彻底的安全审查,确认是否存在漏洞及其利用风险。需要时及时与设备厂商沟通,获取最新的固件更新和补丁,在第一时间应用相关安全修复。同时,提升内网的分段隔离程度,强化访问控制,限制BMC的网络访问权限,降低攻击者利用漏洞横向渗透的可能。增加对BMC流量的监控也十分关键,及时发现异常访问和异常配置变更,有助于阻止攻击升级。
企业须结合先进的入侵检测系统和安全信息与事件管理(SIEM)工具,强化对服务器管理层面的安全防护。AMIMegaRAC漏洞的爆发强调了固件级安全问题的重要性,传统以操作系统和应用程序为主要防护目标的思路需要升级进化。未来,随着服务器硬件管理控制器功能的不断丰富,其安全风险也将愈加复杂和难以防范。网络安全专家呼吁整个行业加强合作,推动开放透明的固件安全生态,积极开展安全编码审查和固件安全评估,构建多层次、深入式的防御体系。我们也提醒终端企业和数据中心运营方,要对服务器基础设施安全保持高度警觉,不断更新管理策略和技术手段,提升事件响应能力,避免在这一类高隐蔽性漏洞攻势中遭受重创。综上,AMI MegaRAC固件漏洞正引发一场服务器管理安全层面的剧烈震荡,其利用的广泛性和潜在破坏性深刻影响行业安全格局。
当前形势要求各方多措并举,实现软硬件补丁及时更新、网络访问最小化、严密监控分析等系统性安全策略,切实降低服务器“底层”控制器遭受攻击的风险,从而守护数据中心和企业资产的安全稳定运行。
