AMI MegaRAC软件漏洞可能导致远程代码执行

MS-ISAC 公告编号：2025-028
发布日期：2025年3月20日

概述

AMI MegaRAC软件中发现一个漏洞，可能允许远程代码执行。MegaRAC是BMC固件包产品线，提供计算机系统的带外或 lights-out 远程管理。成功利用此漏洞可使攻击者远程控制受感染服务器、远程部署恶意软件、勒索软件、固件篡改、损坏主板组件（BMC或可能BIOS/UEFI）、潜在服务器物理损坏（过电压/损坏）以及受害者无法停止的无限重启循环。

威胁情报

Eclypsium已发布CVE-2025-54085漏洞利用的概念验证代码。

受影响系统

• AMI UEFI版本早于BKC_5.38
• AptioV版本早于BKC_5.38
• HPE Cray XD670 1.09物理+Qemu, 1.13物理+Qemu, 1.17 Qemu
• Asus RS720A-E11-RS24U 1.2.27 Qemu

风险等级

政府机构：

• 大型和中型政府实体：高
• 小型政府实体：中

企业：

• 大型和中型企业实体：高
• 小型企业实体：中

家庭用户： 不适用

技术摘要

战术：初始访问（TA0001）
技术：利用面向公众的应用程序（T1190）

AMI的SPx在BMC中存在漏洞，攻击者可能通过Redfish主机接口远程绕过身份验证。本地或远程攻击者可通过访问远程管理接口（Redfish）或BMC接口的内部主机（Redfish）来利用此漏洞。

成功利用此漏洞可使攻击者：

• 远程控制受感染服务器
• 远程部署恶意软件和勒索软件
• 进行固件篡改
• 损坏主板组件（BMC或可能BIOS/UEFI）
• 造成服务器物理损坏（过电压/损坏）
• 触发受害者无法停止的无限重启循环

建议措施

建议采取以下行动：

1. 应用适当更新：在适当测试后立即为易受攻击系统应用AMI或其他使用此软件的供应商提供的适当更新。（M1051：更新软件）

   • 保障措施7.1：建立和维护漏洞管理流程
   • 保障措施7.2：建立和维护修复流程
   • 保障措施7.4：执行自动化应用程序补丁管理
   • 保障措施7.5：执行内部企业资产的自动化漏洞扫描
   • 保障措施7.7：修复检测到的漏洞
   • 保障措施12.1：确保网络基础设施保持最新

2. 实施最小权限原则：对所有系统和服务应用最小权限原则。以非特权用户（无管理权限）运行所有软件，以减轻成功攻击的影响。（M1026：特权账户管理）

   • 保障措施4.7：管理企业资产和软件上的默认账户
   • 保障措施5.5：建立和维护服务账户清单

3. 漏洞扫描：使用漏洞扫描发现潜在可利用的软件漏洞并进行修复。（M1016：漏洞扫描）

   • 保障措施16.13：进行应用程序渗透测试

4. 网络分段：架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段防止访问潜在敏感系统和信息。使用DMZ包含不应从内部网络暴露的面向互联网服务。配置单独的虚拟私有云（VPC）实例以隔离关键云系统。（M1030：网络分段）

   • 保障措施12.2：建立和维护安全网络架构

5. 利用防护：使用功能检测和阻止可能导致或指示软件利用发生的条件。（M1050：利用防护）

   • 保障措施10.5：启用反利用功能

渗透测试建议

• 保障措施18.1：建立和维护渗透测试计划
• 保障措施18.2：执行定期外部渗透测试
• 保障措施18.3：修复渗透测试发现的问题

参考资料

• AMI安全公告：https://go.ami.com/hubfs/Security%20Advisories/2025/AMI-SA-2025003.pdf
• CVE详情：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-54085
• Eclypsium分析：https://eclypsium.com/blog/ami-megarac-vulnerabilities-bmc-part-3/