Kritieke kwetsbaarheid in BMC firmware van AMI treft servers van diverse fabrikanten
De baseboard management controller (BMC) firmware van AMI bevat een kritieke kwetsbaarheid die het mogelijk maakt toegang te krijgen tot servers door authenticatie te omzeilen. Het lek treft servers van diverse fabrikanten, waaronder Asus, Asrock, HPE en Lenovo. Het lek is door AMI gedicht, maar fabrikanten moeten deze patches zelf beschikbaar stellen aan klanten. Het lek (CVE-2024-54085) is ontdekt door Eclypsium, dat zich richt op de beveiliging van hardware zoals dus ook BMC. De BMC stelt beheerders in staat tot het op afstand monitoren en aansturen van apparaten. Zo kunnen zij onder meer firmware updaten en besturingssystemen installeren op systemen zonder fysieke toegang nodig te hebben. AMI is een grote speler op dit vlak; de BMC van AMI is verwerkt in apparaten van een groot aantal fabrikanten.
In 2023 ontdekte het bedrijf eveneens twee kwetsbaarheden in de BMC van AMI. Het nu ontdekte lek lijkt veel op een van de in 2023 ontdekte problemen: CVE-2023-34329. Het is onduidelijk of het om een volledig nieuwe kwetsbaarheid gaat, of dat het eerder ontdekte probleem niet volledig is verholpen.
Malware uitrollen, firmware aanpassen en fysieke schade aanrichten
De kwetsbaarheid treft de Redfish-managementinterface en maakt het mogelijk de authenticatie te omzeilen. Gezien de mogelijkheden die de BMC biedt is het lek dan ook kritiek; aanvallers kunnen onder meer malware op systemen uitrollen, de firmware aanpassen en door voltages aan te passen zelfs fysieke schade toebrengen aan het apparaat.Een patch is inmiddels beschikbaar gesteld door AMI. OEM's moeten deze patch zelf beschikbaar stellen aan hun klanten. Zowel HPE als Lenovo hebben dit inmiddels gedaan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
College ter Beoordeling van Geneesmiddelen
Bij het CBG werken we met gevoelige informatie. Geneesmiddelendossiers met onderzoeksresultaten, persoonsgegevens en marktinformatie bijvoorbeeld. Als onze Information Security Officer (ISO) heb jij een onmisbare rol in de beveiliging van alle gegevens waar het CBG dagelijks mee werkt.
Zet je expertise in voor digitale veiligheid en privacy!
Als Information Security & Privacy Officer bij Kader Group werk je aan uitdagende pro-jecten voor diverse organisaties. Zorg voor compliance, vergroot de cyberweerbaarheid en groei als expert.
- Salaris tot €6.000
- Leaseauto
- Hybride werken
Solliciteer nu en maak impact!
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.