Hackers exploram grave falha de segurança que expõe servidores a controle total

Uma grave vulnerabilidade no firmware AMI MegaRAC, identificada como CVE-2024-54085, está sendo ativamente explorada para comprometer servidores em todo o mundo. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou oficialmente esta vulnerabilidade à sua lista de falhas exploradas ativamente, elevando o nível de alerta para administradores de sistemas e empresas de tecnologia, incluindo operações brasileiras de data centers e infraestrutura em nuvem.

A brecha de segurança afeta o controlador BMC (Baseboard Management Controller) dos servidores, um componente crítico que opera independentemente do sistema operacional principal e permite gerenciamento remoto de hardware. Quando explorada, a falha pode dar aos atacantes controle praticamente irrestrito sobre os equipamentos comprometidos.

Você também pode gostar dos artigos abaixo:

• O que é ser hacker?
• Hackers? Não! 95% das brechas de segurança acontecem por falha humana, aponta pesquisa

Segundo pesquisadores da empresa de segurança Eclypsium, o impacto potencial desta vulnerabilidade é extremamente amplo. Invasores podem implantar código malicioso diretamente no firmware do BMC, tornando sua presença praticamente indetectável por ferramentas convencionais de segurança. Essa característica é particularmente preocupante, pois permite que ataques sobrevivam a reinstalações do sistema operacional ou até mesmo substituições de discos.

O comprometimento de um servidor através desta falha oferece aos atacantes capacidades alarmantes, como ligar ou desligar equipamentos remotamente, reinicializar sistemas, “reimagear” servidores, capturar credenciais armazenadas e usar o BMC como ponto de partida para movimentação lateral dentro da rede corporativa. Além disso, como os BMCs frequentemente têm acesso à memória do sistema e às interfaces de rede, invasores podem capturar dados sensíveis ou exfiltrar informações sem serem detectados.

Em cenários mais graves, atacantes com acesso ao BMC podem deliberadamente corromper o firmware, tornando os servidores inoperáveis e causando significativa interrupção operacional para empresas e serviços digitais.

Fabricantes afetados e risco de espionagem

A linha vulnerável de dispositivos AMI MegaRAC utiliza uma interface conhecida como Redfish. Entre os fabricantes de servidores que empregam estes produtos estão nomes de peso como AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro e Qualcomm. Alguns destes fabricantes já liberaram patches para seus produtos, mas muitos sistemas ainda permanecem desprotegidos.

Embora os detalhes específicos sobre os ataques em andamento sejam escassos, a Eclypsium aponta que os culpados mais prováveis seriam grupos de espionagem operando a serviço do governo chinês. A empresa mencionou cinco grupos de ameaças avançadas persistentes (APTs) com histórico de exploração de vulnerabilidades de firmware ou obtenção de acesso persistente a alvos de alto valor.

Para empresas brasileiras que utilizam infraestrutura de servidores desses fabricantes, o risco é direto e imediato. A recomendação dos especialistas é que administradores de sistemas examinem todos os BMCs em suas frotas para garantir que não estejam vulneráveis. Considerando a ampla gama de fabricantes afetados, é fundamental consultar diretamente o fabricante quando houver dúvidas sobre a exposição de suas redes.

Esta vulnerabilidade representa uma ameaça significativa para data centers e infraestruturas críticas no Brasil, onde muitas empresas e serviços governamentais dependem de servidores dos fabricantes listados. A proximidade das eleições municipais brasileiras também levanta preocupações adicionais sobre possíveis alvos de interesse para grupos de espionagem estrangeiros.

Fonte: Ars Technica