AMI MegaRAC软件漏洞可能导致远程代码执行

MS-ISAC 通告编号：2025-028
发布日期：2025年3月20日

概述

AMI MegaRAC软件中发现一个漏洞，可能允许远程代码执行。MegaRAC是BMC固件包产品线，提供计算机系统的带外远程管理。成功利用此漏洞可使攻击者远程控制受感染服务器、部署恶意软件和勒索软件、篡改固件、损坏主板组件（BMC或BIOS/UEFI），甚至造成服务器物理损坏（过电压/变砖）以及无法停止的无限重启循环。

威胁情报

Eclypsium已发布利用CVE-2025-54085的概念验证代码。

受影响系统

• AMI UEFI版本早于BKC_5.38
• AptioV版本早于BKC_5.38
• HPE Cray XD670 1.09物理+Qemu、1.13物理+Qemu、1.17 Qemu
• 华硕RS720A-E11-RS24U 1.2.27 Qemu

风险等级

政府机构：

• 大中型政府实体：高
• 小型政府实体：中

企业：

• 大中型企业实体：高
• 小型企业实体：中

家庭用户： 不适用

技术摘要

战术：初始访问（TA0001）
技术：利用面向公众的应用程序（T1190）

AMI SPx的BMC中存在漏洞，攻击者可通过Redfish主机接口远程绕过身份验证。本地或远程攻击者可通过访问远程管理接口（Redfish）或BMC接口内部主机（Redfish）利用此漏洞。

成功利用此漏洞可使攻击者：

• 远程控制受感染服务器
• 远程部署恶意软件和勒索软件
• 固件篡改
• 损坏主板组件（BMC或BIOS/UEFI）
• 可能造成服务器物理损坏（过电压/变砖）
• 导致无法停止的无限重启循环

建议措施

建议采取以下行动：

1. 应用适当更新：在适当测试后立即为易受攻击系统应用AMI或其他使用该软件的供应商提供的更新（M1051：更新软件）

2. 漏洞管理流程：

   • 保障措施7.1：建立和维护企业资产的文档化漏洞管理流程
   • 保障措施7.2：建立和维护基于风险的修复策略
   • 保障措施7.4：每月或更频繁执行自动化应用程序补丁管理
   • 保障措施7.5：每季度或更频繁执行内部企业资产的自动化漏洞扫描
   • 保障措施7.7：每月或更频繁修复检测到的漏洞

3. 网络基础设施更新：

   • 保障措施12.1：确保网络基础设施保持最新状态

4. 渗透测试计划：

   • 保障措施18.1：建立和维护适合企业规模、复杂性和成熟度的渗透测试计划
   • 保障措施18.2：根据计划要求执行定期外部渗透测试
   • 保障措施18.3：修复渗透测试发现的问题

5. 权限管理：

   • 对所有系统和服务应用最小权限原则
   • 以非特权用户身份运行所有软件（M1026：特权账户管理）
   • 保障措施4.7：管理企业资产和软件上的默认账户
   • 保障措施5.5：建立和维护服务账户清单

6. 漏洞扫描：使用漏洞扫描发现潜在可利用的软件漏洞并进行修复（M1016：漏洞扫描）

7. 应用程序渗透测试：

   • 保障措施16.13：执行应用程序渗透测试

8. 网络分段：

   • 通过网络架构隔离关键系统、功能或资源（M1030：网络分段）
   • 保障措施12.2：建立和维护安全网络架构

9. 利用防护：

   • 使用功能检测和阻止可能导致或指示软件利用发生的条件（M1050：利用防护）
   • 保障措施10.5：在企业资产和软件上启用反利用功能

参考资料

• AMI：https://go.ami.com/hubfs/Security%20Advisories/2025/AMI-SA-2025003.pdf
• CVE：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-54085
• Eclypsium：https://eclypsium.com/blog/ami-megarac-vulnerabilities-bmc-part-3/